- 博客(108)
- 收藏
- 关注
原创 程序设计学习笔记——目录(便于检索)
大家好 ! 我是【小黄】,因为我姓黄所以就叫小黄好了。这博客是对自己学习和成长的一点点总结及记录,如果您对我写的还感兴趣 , 可以关注一下我的动态,我们一起学习 、共同成长和进步。 书本太薄写尽心中所想,却看不到来日方长。杯盏太浅盛的下唇齿留香,却品不尽尘世沧桑。 余生太短,饮下杯中美酒,愿能忘却忧愁。 既然此生不能再回首,那就潇洒风流的向前走。就算前路荆棘若虎口,至少还有我和温柔。♡♡♡♡ ♡♡♡♡♡♡ ♡♡♡♡ ♡♡♡♡♡♡更新记录:第一次:2020年8月15日 下载...
2020-08-15 20:28:53 2528 2
原创 Python 字典
一、一个简单的字典:举个例子:二、使用字典:在Python中,字典是一系列键值对。每个键都与一个值相关联,你可使用键来访问相关联的值。与键相关联的值可以是数、字符串、列表乃至字典。事实上,可将任何Python对象用作字典中的值。在Python中,字典用放在花括号({})中的一系列键值对表示,如前面的示例所示:键值对是两个相关联的值。指定键时,Python将返回与之相关联的值。键和值之间用冒号分隔,而键值对之间用逗号分隔。在字典中,想存储多少个键值对都可以。最简单的字典只有一个键值对,如
2021-10-24 22:50:27 18335 1
原创 Python - if语句
编程时经常需要检查一系列条件,并据此决定采取什么措施。在Python中,if语句让你能够检查程序的当前状态,并采取相应的措施。一、一个简单示例:假设你有一个汽车列表,并想将其中每辆汽车的名称打印出来。对于大多数汽车,应以首字母大写的方式打印其名称,但对于汽车名’bmw’,应以全大写的方式打印。下面的代码遍历这个列表,并以首字母大写的方式打印其中的汽车名,不过对于’bmw’,则以全大写的方式打印:二、条件测试:每条if语句的核心都是一个值为True或False的表达式,这种表达式称为条件测.
2021-10-24 22:49:36 10525 1
原创 Python - 操作列表
一、遍历整个列表:深入研究循环:刚开始使用循环时请牢记,对列表中的每个元素,都将执行循环指定的步骤,而不管列表包含多少个元素。如果列表包含一百万个元素,Python就重复执行指定的步骤一百万次,且通常速度非常快。在for循环结束后执行一些操作:在for循环后面,没有缩进的代码都只执行一次,不会重复执行。下面来打印一条向全体魔术师致谢的消息,感谢他们的精彩表演。想要在打印给各位魔术师的消息后面打印一条给全体魔术师的致谢消息,需要将相应的代码放在for循环后面,且不缩进:避免缩进错误:
2021-10-24 22:48:59 381
原创 Python - 列表
一、列表:列表由一系列按特定顺序排列的元素组成。你可以创建包含字母表中所有字母、数字0~9或所有家庭成员姓名的列表;也可以将任何东西加入列表中,其中的元素之间可以没有任何关系。列表通常包含多个元素,因此给列表指定一个表示复数的名称(如letters、digits或names)是个不错的主意。访问列表元素:列表是有序集合,因此要访问列表的任意元素,只需将该元素的位置(索引)告诉Python即可。要访问列表元素,可指出列表的名称,再指出元素的索引,并将后者放在方括号内。索引从0开始不是
2021-10-24 22:48:22 334
原创 Python - 变量和简单数据类型
一、变量:变量的命名与使用:变量名只能包含字母、数字和下划线。变量名能以字母或下划线打头,但不能以数字打头。变量名不能包含空格,但能使用下划线来分隔其中的单词。变量是标签:变量常被描述为可用于存储值的盒子。在你刚接触变量时,这种定义可能很有帮助,但它并没有准确描述Python内部表示变量的方式。一种好得多的定义是,变量是可以赋给值的标签,也可以说变量指向特定的值。二、字符串:字符串就是一系列字符。在Python中,用引号括起的都是字符串,其中的引号可以是单引号,也可以是双引号
2021-10-19 20:28:57 390
原创 Sublime Text - 配置Python编译环境
{ "cmd": ["python3","-u","$file"],}这段代码让Sublime Text使用命令python3来运行Python程序。将这个文件保存到Sublime Text默认打开的文件夹中,并将其命名为Python3.sublime-build。各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。每个小伙伴的关注都是本人更新博客的动力!!!请微信搜索【 在下小黄 】文章更新将在第一时间阅.
2021-10-19 20:28:14 658
原创 冲击红队第十五天 - union 联合注入
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!如若转载请注明出处 ,!!!! 今天更新的是:冲击红队第十五天 - union 联合注入创建时间:2021年10月6日冲击红队第十五天 - union 联合注入一、union 联合注入原理举个例子:举个例子:union 联合注入原理:union 联合注入原理:拿 SQLi - labs 1 题目做个演示:一、union 联合注入原理联合查询注入是联合两个表进行注入攻击,使用关键词 union selec
2021-10-06 17:12:34 1889
原创 冲击红队第十四天 - SQL 注入漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!如若转载请注明出处 ,!!!! 今天更新的是:冲击红队第十四天 - SQL 注入漏洞创建时间:2021年10月5日冲击红队第十四天 - SQL 注入漏洞一、漏洞描述二、MySQL注入的相关知识MySQL 中的常用的函数:有关select函数介绍(直接在mysql中进行查询)三、SQL 注入原理SQL 注入漏洞的产生需要满足以下两个条件 :举个例子:判断是否存在注入:三种 SQL 注释符:注入流程:举个例子:SQ
2021-10-05 14:48:30 583
原创 内网基础知识
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是: 内网基础知识创建时间:2021年9月22日软件: MindMaster Pro、语雀内网基础知识一、工作组二、域域:域控制器:三、域环境的分类:单域:域树:域森林:域名服务器:四、活动目录活动目录:五、域控制器和活动目录的区别六、安全域的划分安全域:七、域中计算机的分类组:域本地组全局组通用组A-G-DL-P 策略内置组八、拓展:如何理解内网?内网也指局域网(Local Area Networ
2021-09-22 21:13:58 1463
原创 vulhub - Os-hackNos-1
一、环境搭建:Os-hackNos-1靶机实验主机:kali linux 2021 虚拟机(VM)实验靶机:Os-hackNos-1靶机(VM)实验网络:NAT模式实验难度:简单flag:1.普通用户的user.txt;2.root用户的user.txt技能:漏洞利用 | web应用 | 暴力破解 | 权限提升二、信息收集:主机发现:确认自己的信息:ifconfig探测网段存活主机:nmap -sP 192.168.138.0/24端口扫描:探测操作系统及软
2021-09-09 10:00:09 532
原创 手把手教你通关 SQLi - labs 1~5 关
Background -1 SQL注入基础知识Less -1 基于错误的GET单引号字符型注入手工注入:代码审计:检查完源码之后,我们发现这里传递参数的单引号出现了问题,我们可以尝试进行注入。<?php//including the Mysql connect parameters.include("../sql-connections/sql-connect.php");error_reporting(0);// take the variables if(isset($_G
2021-09-09 09:52:54 479
原创 冲击红队第一天 - Web安全介绍与基础入门
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:冲击红队第一天 - Web安全介绍与基础入门微信公众号回复:【 学习笔记】,即可获取本文全部涉及到的工具。创建时间:2021年7月31日软件: MindMaster Pro、语雀冲击红队第一天 - Web安全介绍与基础入门一、渗透测试(PTES)渗透测试概念:渗透测试意义:渗透测试目的:入侵途径:程
2021-07-31 23:33:56 1085
原创 文件上传内容逻辑数组绕过
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:文件上传内容逻辑数组绕过微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。创建时间:2021年6月29日软件: MindMaster Pro、kali文件上传内容逻辑数组绕过前言:思维导图中的内容及其他、解析漏洞、CVE漏洞等一、图片马:图片马:图片一句话木马制作方法:第14关:上传图片马进行绕过制作图片马:二、文件头检测:图像文件信息判断:第15题第16题 :php内置函数获取图片类型
2021-06-29 11:03:11 610 5
原创 Owasp Top10 2020
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:Owasp Top10 2020创建时间:2021年6月29日Owasp Top10 2020一、注入(SQL-注入)如何防止代码注入漏洞从这些建议中,您可以抽离出两件事(总结):二、失效身份验证和会话管理(存在暴利破解)如何防范:三、敏感信息泄露如何防止数据泄露四、XML外部实体注入攻击(XXE)如何防止XML外部实体注入攻击五、存取控制中断如何防止访问控制中断六、安全性错误配置(使用CMS的默认
2021-06-29 10:50:48 1192
原创 文件上传后端黑名单白名单绕过
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:文件上传后端黑名单白名单绕过微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。创建时间:2021年6月23日软件: MindMaster Pro、kali、DriftingBlues:7靶机文件上传后端黑名单白名单绕过一、文件上传常见验证:客户端验证:客户端校验服务端验证:后缀名:黑名单、白名
2021-06-23 21:35:35 3472 7
原创 vulnhub靶机 | DriftingBlues:7
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:vulnhub靶机 | DriftingBlues:7 靶机解题过程及思路微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。创建时间:2021年6月7日软件: MindMaster Pro、kali、DriftingBlues:7靶机DriftingBlues:7靶机解题过程及思路前言:信息搜
2021-06-07 19:20:12 1096 10
原创 CTF 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:小白教程《从0到1:CTFer成长之路》结题过程《从0到1:CTFer成长之路》书籍配套题目,点击即可打开 - 实验环境(i 春秋 需要登录)微信公众号回复:【CTF】,即可获取本文全部涉及到的工具。创建时间:2021年5月30日软件: MindMaster Pro、kali这里写目录标题CTF中
2021-06-07 11:31:22 2452 1
原创 太厉害了,终于有人能把文件上传漏洞讲的明明白白了
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:P7 漏洞类型详解_文件上传漏洞往期检索:小白渗透入门系列 - 目录微信公众号回复:【文件上传】,即可获取本文全部涉及到的工具。创建时间:2021年5月9日软件: MindMaster Pro漏洞类型详解_文件上传漏洞一、WebShell 与 WebShell 管理工具1.1 什么叫做WebSh
2021-05-23 22:34:22 43493 77
原创 P6 利用Vulhub复现漏洞 -PostgreSQL 提权漏洞(CVE-2018-1058)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P6 利用Vulhub复现漏洞 -PostgreSQL 提权漏洞(CVE-2018-1058)往期检索:程序设计学习笔记——目录创建时间:2021年3月29日软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、Vulhub靶机PostgreSQL 提权漏洞Vulhub 复现漏洞原理环境准备漏洞复现Vulhub 复现PostgreSQL 提权漏洞漏洞原理Po
2021-05-08 17:45:33 895 5
原创 【小白渗透入门系列目录】
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。每个小伙伴的关注都是本人更新博客的动力!!!请微信搜索【 在下小黄 】文章更新将在第一时间阅读 !博客中若有不恰当的地方,请您一定要告诉我。前路崎岖,望我们可以互相帮助,并肩前行!...
2021-05-04 21:50:52 2145 1
原创 【小白渗透入门系列】P4 信息搜集_信息收集常见手段与方法
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P3 信息搜集_信息收集常见手段与方法往期检索:程序设计学习笔记——目录创建时间:2021年4月25日软件: MindMaster Pro先放一张思维导图,大致知道操作系统的具体功能和目标,然后再一一展开叙述。各位路过的朋友,如果觉得可以学到些什么的话,点个赞 再走吧,欢迎各位路过的大佬评论,指正错误,也欢迎有问题的小伙伴评论留言,私信。每个小伙伴的关注都是本人更新博客的动力!!!请
2021-05-03 18:13:49 3017 13
原创 【漏洞复现】最新Chrome远程代码执行0 Day
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:【复现】最新Chrome远程代码执行 0 Day往期检索:程序设计学习笔记——目录创建时间:2021年4月13日软件: Chrome( 89.0.4389.114)及以下正式版仍存在该漏洞。Chrome远程代码执行0 Day漏洞简述:漏洞简述:2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情,漏洞等级:严重漏洞评分:9.
2021-04-13 21:44:05 1959 7
原创 P7 利用Vulhub复现漏洞 -PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P7 利用Vulhub复现漏洞 -PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)往期检索:程序设计学习笔记——目录创建时间:2021年3月29日软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、Vulhub靶机PostgreSQL 高权限命令执行漏洞Vulhub 复现漏洞原理环境准备Vulhub 复现PostgreSQL 高权限命令执行漏
2021-03-29 20:39:35 416
原创 P5 利用Vulhub复现漏洞 -DNS域传送漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P5 利用Vulnhub复现漏洞 -DNS域传送漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月29日软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、Vulhub靶机DNS域传送漏洞Vulhub 复现漏洞原理环境准备漏洞复现第一种方法:dig命令第二种方法:namp命令第三种方法:nslookup命令Vulhub 复现DNS域传送漏洞
2021-03-29 11:35:26 876 1
原创 P12 PikaChu_目录遍历漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P12 PikaChu_目录遍历漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月28日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器目录遍历漏洞前言漏洞分析前言在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执
2021-03-28 18:01:36 349
原创 P11 PikaChu_File Inclusion(文件包含漏洞)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P11 PikaChu_File Inclusion(文件包含漏洞)往期检索:程序设计学习笔记——目录创建时间:2021年3月27日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器File Inclusion 文件包含漏洞前言:一、File Inclusion(local)漏洞分析尝试爆破一下隐藏文件尝试读取系统文件尝试结合文件上传getshell二、File I
2021-03-28 17:06:42 1731 6
原创 P10 PikaChu_RCE
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P10 PikaChu_RCE往期检索:程序设计学习笔记——目录创建时间:2021年3月25日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器RCE前言:一、exrc " ping "漏洞分析一、exrc " evel "漏洞分析前言:RCE(remote command/code execute)概述 :RCE漏洞,可以让攻击者直接向后台服务器远程注入操作
2021-03-27 16:01:00 436 2
原创 P9 PikaChu_CSRF(跨站请求伪造)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P9 PikaChu_CSRF(跨站请求伪造)往期检索:程序设计学习笔记——目录创建时间:2021年3月24日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器CSRF 跨站请求伪造前言:场景模拟:一、CSRF(get)漏洞分析二、CSRF(post)三级目录三、CSRF Token三级目录前言:Cross-site request forgery 简称为“C
2021-03-24 21:18:21 2227 8
原创 P8 PikaChu_Over Permission越权
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P8 PikaChu_Over Permission越权往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器这里写目录标题前言一、水平越权漏洞分析、利用第二种方法尝试一下二、垂直越权漏洞分析、利用前言如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。
2021-03-23 20:42:42 335
原创 P7 PikaChu_PHP反序列化
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P7 PikaChu_PHP反序列化往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器PHP反序列化前言序列化:serialize( ) 函数反序列化unserialize( ) 函数漏洞分析文章参考前言首先我们要理解什么叫做序列化和反序列化序列化(serialize):是将变量或对象转换
2021-03-23 19:22:56 292 4
原创 P6 PikaChu_Unsafe Filedownload 不安全的文件下载
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P6 PikaChu_Unsafe Filedownload 不安全的文件下载往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器Unsafe Filedownload 不安全的文件下载前言漏洞分析漏洞利用前言不安全的文件下载概述: 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便
2021-03-23 17:09:23 336 1
原创 P4 利用XXE靶机 -XXE(XML外部实体注入漏洞)复现
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P3 利用Vulnhub复现漏洞 - Apache SSI 远程命令执行漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月22日软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、XXE靶机XXE漏洞复现环境准备环境准备kali配置安装masscan : apt-get install masscan安装gobuster: apt-g
2021-03-22 21:56:28 580 1
原创 P5 PikaChu_XXE(XML外部实体注入漏洞)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P5 PikaChu_XXE(XML外部实体注入漏洞)往期检索:程序设计学习笔记——目录创建时间:2021年3月22日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器PikaChu_XXE前言:一、 XML语法结构:二、漏洞分析:三、漏洞利用:四、查看php源代码:五、爆破开放端口:前言:XXE -“xml external entity injection
2021-03-22 18:31:19 430 6
原创 P4 PikaChu_不安全的文件上传漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P4 PikaChu_不安全的文件上传漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器P4 PikaChu_不安全的文件上传漏洞前言一、client check 客户端验证漏洞分析绕过姿势方法1 利用插件禁用JS脚本方法2 通过 Burp Suite 抓包来修改后缀二、MIME type 服务端验
2021-03-21 19:04:00 2637 8
原创 P1 PikaChu_暴力破解
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P1 PikaChu_暴力破解往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器先放一张思维导图,大致知道操作系统的具体功能和目标,然后再一一展开叙述。P1 PikaChu_暴力破解前言:一级目录二级目录三级目录前言:WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用
2021-03-20 18:04:05 2996 7
原创 P2 利用Vulnhub复现漏洞 - Drupal 远程代码执行漏洞(CVE-2019-6339)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P2 利用Vulnhub复现漏洞 - Drupal 远程代码执行漏洞(CVE-2019-6339)往期检索:程序设计学习笔记——目录创建时间:2021年3月19日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器Drupal 远程代码执行漏洞(CVE-2019-6339)Vulnhub 官方复现三级目录Vulnhub 官方复现三级目录各位路过的朋友,如果觉得
2021-03-19 21:34:38 515
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人