自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

原创 何为SSRF,能干嘛?
原力计划

SSRF漏洞定义 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人...

2020-05-01 22:52:32 78 0

原创 扫描器篇(十)之python+nmap实现系统识别
原力计划

#!/usr/bin/python3.7 #!coding:utf-8 import nmap import sys import time from optparse import OptionParser from threading import Thread from scapy.all...

2020-04-18 17:19:00 173 0

原创 扫描器篇(九)之利用python socket编写端口扫描器
原力计划

前言 之前在编写端口扫描的代码时都是使用TCP/UDP协议, 但是看了很多的代码都是用socket来完成的,所以就 来学习一下socket编程 什么是socket 网络中的两台主机之间进行通信,本质上是主机中所 运行的进程之间的通信,两个进程如果需要进行通信 ,最基本的前提是...

2020-04-18 12:02:50 86 0

原创 扫描器篇(八)之python+scapy构造TCP协议包扫描主机端口
原力计划

TCP协议端口扫描 要使用TCP协议去完成端口扫描,肯定是需要了解TCP协议通信过程和原理才能完成的 TCP协议的特点 面向连接的:使用TCP协议通信的双方必须先建立连接,然后才能开始数据的读写,TCP连接是 全双工的,即双方的数据读写可以通过一个连接进行。完成数据交换之后,通...

2020-04-18 09:23:01 72 0

原创 扫描器篇(七)之python+scapy构造TCP数据包发现网段内所有存活主机
原力计划

TCP协议主机发现 要使用TCP协议去完成主机发现,肯定是需要了解TCP协议通信过程和原理才能完成的 TCP协议的特点 面向连接的:使用TCP协议通信的双方必须先建立连接,然后才能开始数据的读写,TCP连接是 全双工的,即双方的数据读写可以通过一个连接进行。完成数据交换之后,通...

2020-04-18 03:14:45 92 0

原创 扫描器篇(六)之python+scapy组合编写基于UDP协议的端口扫描器,顺带解决UDP协议多线程无响应问题
原力计划

UDP 端口扫描 要对端口进行扫描需要先了解一下UDP协议的特征 UDP是无连接通信协议,即在数据传输时,数据的发送端和接收端不建立逻辑连接。简单来说,当一台计算机向另外一台计算机发送数据时,发送端不会确认接收端是否存在,就会发出数据,同样接收端在收到数据时,也不会向发送端反馈是否...

2020-04-18 01:45:02 238 0

原创 扫描器篇(五)之scapy构造UDP数据包完成主机发现
原力计划

udp协议扫描 发现原理 向目标主机发送一个,没有开放的端口发送数据,目标主机会返回一个ICMP 目标端口不可达的消息,通过该特征可以对主机进行判断是否在线 注意事项 如果目标主机端口不在线,或者在线且目标端口为开放状态,那么发送出去的UDPTencent数据包不会收到任...

2020-04-17 12:35:35 215 0

原创 一篇文章快速上手python socket编程,还能自己写后门
原力计划

socket 网络编程 之前在编写四层发现的代码时都是使用TCP/UDP协议, 但是看了很多的代码都是用socket来完成的,所以就 来学习一下socket 什么是socket 网络中的两台主机之间进行通信,本质上是主机中所 运行的进程之间的通信,两个进程如果需要进行通信 ...

2020-04-17 11:28:44 232 0

原创 python面向对象编程,带你开发一款自己的飞机大作战小游戏
原力计划

目的: 强化面向对象编程 使用pygame开发一款属于自己的小游戏 pygame: 一个第三方python库,为电子游戏而生 官网https://www.pygame.org/ 安装方式:pip3 install pygame 验证安装:python3 -m pygam...

2020-04-13 10:01:54 399 0

原创 扫描器篇(二)之python编写sql注入漏洞探测器
原力计划

sql注入介绍 什么是sql注入 用户输入内容拼接到sql语句中,并执行 Sql注入危害 榨取数据 执行系统命令 向数据库插入代码 绕过验证登录 工具参数获取 工具思路 验证sql注入是否存在 基于错误base_error You have an error in S...

2020-03-24 01:58:27 318 1

原创 扫描器篇(四)之python开发一款属于自己的基于表单的密码破解程序
原力计划

在线密码破解 什么是在线密码破解 针对在线服务的认证凭证进行合法的用户枚举 离线密码破解:拿到密文之后去破解 Web安全中用来破解的工具Burpsuite 基于表单验证的破解 基于http认证的破解 环境搭建 phpstudy启动对...

2020-03-22 02:38:04 99 0

原创 扫描器篇(三)之python编写基于字典的网站目录探测脚本
原力计划

工具原理: 通过读取字典获取内容,拼接url执行get http请求获取 响应状态码,根据状态码判断目录文件资源是否存在 思路: 工具命令行参数获取 字典读取 多线程访问 状态码获得判断输出结果 工具初始化 定义一个banner信息函数...

2020-03-12 02:10:47 48 0

原创 使用scrapy爬虫框架来获取腾讯的招聘信息

Scrapy是一个用于抓取web站点和提取结构化数据的应用程序框架,可用于广泛的应用程序,如数据挖掘,信息处理或历史存档 尽管scrapy最初是为了web抓取而设计的但它也可以使用api(如Amazon Associates Web Services) 或通用web爬虫程序来提取数据 ...

2020-03-11 01:35:47 46 0

原创 扫描器篇(一)之python request模块编写漏洞扫描器,顺便利用一下探测出来的ms15-034

ms15-034一个高危漏洞 根据微软官方公告来看,受影响的系统还是挺多的,那么本次就记录这个漏洞的学习过程吧 从官方的公告可以得知产生原因 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中, 当 HTTP.sys未正确分析经特殊设计的 HTTP 请求时会导致...

2020-03-02 03:25:24 80 0

原创 记录一次DHCP协议的学习过程

DHCP 动态主机设置协议(Dynamic Host Configuration Protocol,缩写:DHCP)是一个局域网的网络协议,使用UDP协议工作。 BOOTP BOOTP(Bootstrap Protocol,引导程序协议)是一种引导协议,基于IP/UDP协议,也称自举协...

2020-03-01 22:30:21 73 0

原创 kali内置web扫描器nikto使用参数

Nitko 基于perl语言编写开源的web扫描器 扫描eb服务软件版本,不是最新版的话会和最新版进行对比,发现可能存在的漏洞 扫描高危文件,是否存在泄漏隐私的文件 配置文件上的漏洞,很多服务安装了都是默认的配置,存在很大的安全隐患 使用参数 长期不使用nikto的话,官网可能...

2020-01-09 19:55:51 89 0

原创 记录一次http协议学习过程

Web技术发展### 1.静态Web 攻击手段都是针对Web应用程序,lls服务,apache等程序 2.动态Web 动态Web最大的特点就是可以接受客户端提交的数据,,根据用户的输入返回不同的结果,从而实现各式各样的应用。 针对web应用程序代码进行寻找漏洞,从而攻击等等。 #动...

2019-12-31 08:51:57 86 0

原创 windows xp提权

1,本地提权 要求:以实现本地低权限账号登录,至少获得一个命令行的shell。 当前几乎所有的系统都是多用户账号,这些账号可以是系统自带的账号,也可以是系统为某些应用程序设置的账号,让该应用程序就以该账号去运行它自己。 多用户账号的目的:实现权限隔离,因为当所有的事情都需要一个账号去做的话就需要给...

2019-12-07 16:53:12 99 0

原创 HTTP访问流程分析

http协议,每天都要接触的一个协议。 也叫超文本传输协议,http协议就是万维网的传输机制,允许浏览器通过Web服务器来浏览网页,同时http也是web最核心的内容,它是web服务器和客户端之间进行数据传输的规则。web也就是网站是信息内容发布者,而最常见的客户端就是浏览器,用于接收web服务器...

2019-12-04 20:50:31 27 0

原创 一篇文章让你快速上手metasploit(美少妇)

Msfconsole基本使用 前言 本文目的仅是分享记录学习过程,请勿用做非法用途。 Metasploit一个号称可以黑掉整个世界的神器,很多初学者刚接触的时候都觉得很复杂。笔者也花了不少的时间也才入手的,下文分享一些简单的用法。 常用参数介绍: 在kali系统里面是集成了接口的,只需要在终端输入...

2019-11-25 19:45:23 158 0

提示
确定要删除当前文章?
取消 删除