自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

seeicb的博客

悟已往之不谏,知来者之可追

  • 博客(29)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 Web for pentest-XSS

title: Web for pentest-XSScomments: falsedate: 2016-07-24 23:35:22categories: 安全tags: [Web安全,XSS]example1:未作任何过滤http://192.168.10.12/xss/example1.php?name=<script>alert('xss')</script...

2019-05-20 22:51:09 328

原创 Web日志分析学习

title: Web日志分析学习comments: falsedate: 2016-08-09 23:50:32categories: 安全tags: Web安全Apache日志分析Apache默认日志存在于安装目录下的logs文件中。其记录基本为:127.0.0.1 - - [09/Jul/2016:16:37:49 +0800] "GET / HTTP/1.1" 302 -...

2019-05-20 22:50:36 779

原创 mysql盲注

title: mysql盲注comments: falsedate: 2016-05-27 13:21:58categories: 安全tags: [Web安全,SQL注入,Python]dvwa-mysql盲注一、盲注SQL基础函数mysql中有几个函数可以用来进行盲注。包括 sleep(),ascii(),substring(),length(),if()等。其中:sl...

2019-05-20 22:49:58 1145

原创 Python模拟登录

title: Python模拟登录date: 2016-05-06 16:22:16categories: Pythontags: PythonPython模拟登录,刚开始使用urllib和cookiejar模块。后来还是发现requests好用。以登录DVWA为例:登录过程如下:首先get请求一次login.php网页返回cookie和token输入用户名和密码,post将...

2019-05-20 22:49:13 691

原创 命令执行-代码执行漏洞学习

title: 命令执行-代码执行漏洞学习date: 2016-04-30 16:51:13categories: 安全tags: Web安全** 命令执行 **在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。以DVWA为例,在DVWA...

2019-05-20 22:48:45 1310

原创 文件上传/文件包含漏洞学习

title: 文件上传/文件包含漏洞学习date: 2016-04-25 21:52:19categories: 安全tags: Web安全** 文件上传漏洞 **在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。常...

2019-05-20 22:48:18 1362

原创 CSRF学习

title: CSRF学习date: 2016-04-19 18:45:30categories: 安全tags: Web安全一、简介CSRF(跨站点请求伪造),即攻击者构造一个URL,通常这个URL是可以完成某种动作,如添加管理员,删除文章等等。然后发送给已登录的用户,当该用户点击此URL时就会触发攻击。以DVWA为例:当管理员更改密码时,以GET方式提交链接如下http://...

2019-05-20 22:47:47 151

原创 python爬虫学习

title: python爬虫学习date: 2016-04-17 21:31:12categories: Pythontags: 爬虫最近开始学python,按照慕课网 http://www.imooc.com/learn/563 上的教程,写了个简单的爬虫,记录一下。代码地址模块spider_main 爬虫主程序__init__ 初始化craw 爬取...

2019-05-20 22:47:04 109

原创 XSS学习

title: XSS学习date: 2016-04-03 20:35:43categories: 安全tags: [Web安全,XSS]一、XSS原理xss即 跨站脚本攻击(Cross Site Scripting),是指攻击者在页面中插入恶意的Script脚本,当用户浏览页面时,插入其中的Script脚本会被执行,从而达到攻击的目的。例如:&lt;?php$name = $_G...

2019-05-20 22:40:05 610

原创 SQL注入学习

title: SQL注入学习date: 2016-03-26 20:24:37categories: 安全tags: [Web安全,SQL注入]一、原理1.简介SQL注入的原因主要是在SQL查询中,没有过滤用户输入的数据,导致输入的恶意代码被执行,从而产生漏洞。如下的语句中$sql="SELECT * FROM user WHERE username='{$username}' ...

2019-03-11 22:54:39 417

原创 DVWA练习7-命令执行

title: DVWA练习7-命令执行date: 2016-03-21 22:43:24categories: 安全tags: Web安全一、命令执行1.简介命令执行漏洞指攻击者可以随意执行系统命令,属于代码执行。在Web程序中经常提供一些执行系统命令的函数,当用户可以输入任意命令,没有过滤时,就会发生命令执行漏洞。2.成因很多语言中都有执行系统命令的函数。如php中 sys...

2019-03-11 22:52:59 496

原创 DVWA练习6-暴力破解

title: DVWA练习6-暴力破解date: 2016-03-16 13:37:45categories: 安全tags: Web安全一、暴力破解1.简介暴力破解是一种针对密码破解的方法,主要是使用枚举法,将密码逐个测试,直到找到真正的密码。一般暴力破解比较耗时。且需要好的字典。2.攻击一般的攻击主要是使用爆破软件进行破解,主要的工具有Hydra,burpsuite等等。...

2019-03-11 22:51:44 2373

原创 DVWA练习5-文件包含漏洞

title: DVWA练习5-文件包含漏洞date: 2016-03-11 13:32:17categories: 安全tags: Web安全一、文件包含漏洞1.简介如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。PHP: include(),include_once(),require(),requ...

2019-03-11 22:50:27 404

原创 DVWA练习4-上传漏洞

title: DVWA练习4-上传漏洞date: 2016-03-07 17:31:32categories: 安全tags: Web安全一、上传漏洞1.简介Web服务中经常有上传文件的功能,如果不对上传的文件进行限制或者限制被绕过,就有可能上传可执行文件,获取系统权限。2.漏洞成因参考wooyun wiki*导致文件上传的漏洞的原因较多,主要包括以下几类:服务器配置不当开...

2019-03-11 22:50:08 272

原创 DVWA练习3-SQL注入

title: DVWA练习3-SQL注入date: 2016-03-02 22:44:13categories: 安全tags: [Web安全,SQL注入]一、SQL注入1.简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的...

2019-03-11 22:49:48 460

原创 DVWA练习2-CSRF

title: DVWA练习2-CSRFdate: 2016-01-03 01:44:17categories: 安全tags: Web安全一、CSRF1.CSRF简介CSRF跨站请求伪造,是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以CSRF攻击主要用来执行动作,而非窃取用户数据。当受害者是一个普通用户时,CSRF可以实现在其不知情的情...

2019-03-11 22:47:11 250

原创 DVWA练习1-XSS

title: DVWA练习1-XSSdate: 2015-12-02 23:28:56categories: 安全tags: [Web安全,XSS]一、XSS1.XSS简介XSS即跨站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS通常分为三类:反射型XSS 存储型XSS D...

2019-03-11 22:46:38 296

原创 VMware端口转发

title: VMware端口转发date: 2015-11-15 22:14:30categories: Linuxtags: Linux因为在ubuntu中使用虚拟机搭建了一个web服务器,在主机上可以使用host-only访问,但是其它的电脑无法访问,就想到了端口转发功能。在linux 下,vmware的网络编辑没有这个设置,需要在配置文件中设置。配置文件位于: /etc/vm...

2019-03-11 22:45:48 543

原创 代码审计学习-1

title: 代码审计学习-1comments: falsedate: 2016-09-06 21:29:05categories: 安全tags: 代码审计输入与输出过滤PHP输入变量列表:变量名定义$_SERVER预定义服务器变量$_GET用于收集来自 method=“get” 的表单中的值$_POST用于收集来自 method=“pos...

2019-03-11 22:39:39 169

原创 代码审计学习-2

title: 代码审计学习-2comments: falsedate: 2016-09-13 01:47:25categories: 安全tags: 代码审计代码执行&amp;&amp;命令执行代码执行代码执行漏洞的危险函数包括:eval(),assert(),preg_replace(),call_user_func()、call_user_func_array()、crea...

2019-03-06 21:49:10 343

原创 代码审计学习-3

title: 代码审计学习-3comments: falsedate: 2016-09-20 22:34:01categories: 安全tags: 代码审计文件操作漏洞包括:文件包含,文件读取,文件删除,文件修改以及文件上传漏洞。这里只讲文件读取,文件删除漏洞。文件读取文件读取函数危险函数包括file_get_contents(),highlight_file(),fop...

2019-03-06 21:48:50 330

原创 代码审计学习-4

title: 代码审计学习-4comments: falsedate: 2016-11-04 20:50:39categories: 安全tags: 代码审计宽字节注入,二次注入。宽字节注入当MySQL使用了“宽字符集”时,可能会由于编码转换而产生漏洞,具体的原理为如当数据库使用了GBK编码时,如果注入参数中存在%df%27,即可与程序中的转义字符\(%5c)重新组合而使转义字符...

2019-03-06 21:48:31 248

原创 python hdfs模块使用

title: python hdfs模块使用date: 2017-02-21 20:43:11categories: Pythontags: HDFSHDFS是hadoop分布式文件系统,HDFS中有两类节点。一类是NameNode,一类是DataNode。其中NameNode是管理者,存储各种文件的元数据,SecondaryNameNode作为NameNode的冷备份。DataNo...

2019-03-06 21:48:07 1929

原创 Flask+HDFS云盘系统设计

title: Flask+HDFS云盘系统设计date: 2017-07-10 21:22:39categories: Pythontags: Flask通过学习Flask,Hadoop等开发了一个简单的云盘系统,记录一下。项目地址:https://github.com/seeicb/Flask-Disk技术选型前端:Bootstrap JQuery sweetalert(弹窗插...

2019-03-06 21:47:37 2503 5

原创 docker学习笔记

title: docker学习笔记date: 2017-11-19 21:43:49tags: Dockercategories: LinuxDocker基础概念Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以...

2019-03-06 21:47:09 209

原创 Metasploit学习-1

title: Metasploit学习-1date: 2018-03-14 21:17:37categories: 安全tags: [Metasploit,工具]Metasploit 介绍Metasploit是一个漏洞利用框架,全称The Metasploit Framework,简称MSF。msf包括各种模块,插件,和第三方工具。如msfvenom,db_nmap,db_sqlm...

2019-03-06 21:40:12 453

原创 Metasploit学习2-后门制作

title: Metasploit学习2-后门制作date: 2018-04-15 20:15:19categories: 安全tags: [Metasploit,工具]介绍下几个后门制作工具的使用,主要包括msfvenom,thefatrat(推荐),shellter。msfvenommsfvenom是msf框架中用来生成后门的工具。查看命令➜ ~ msfvenom -h...

2019-03-06 21:39:36 1210

原创 mitmproxy-python-api使用

title: mitmproxy-python-api使用date: 2018-05-10 21:10:41categories: Pythontags: mitmproxymitmproxy是一款使用python编写的中间人代理工具。包含了命令行界面、web界面和python api脚本三种方式进行代理抓包。其中python api可以用来编写自定义脚本,进行扩展,非常适合编写一些特...

2019-03-06 21:38:15 5148

原创 mysql渗透提权知识

title: mysql渗透提权知识date: 2018-06-30 21:55:07categories: 安全tags: MySQL一、MySQL默认库表介绍mysql安装后会默认存在3个库,包括information_schema,mysql和performance_schema。performance_schema提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库...

2019-03-06 18:14:16 1171

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除