风冷晨-CSDN博客

原创第二章：渗透测试概述

渗透测试类型法律和道德准则渗透测试方法学。

2023-05-19 11:41:48 651 1

既然是通过网络的方式管理设备，设备就必须配置IP地址，由于交换机上的接口都是交换接口，是不允许配置IP地址，直接为交换机的虚接口配置IP地址，默认情况下交换机的默认虚接口就是 vlan1 接口。2、SSH是应用层协议，基于传输层TCP，默认端口号22，采用的是密文密码方式，相对来讲比较安全，经常用于跨越互联网管理，也常用于远程管理Linux操作系统。1、telnet是应用层协议，基于传输层TCP，默认端口号：23，采用的是明文密码方式，不是太安全，一般用于内网管理。配置设备的连接终端并直接设置密码，应用。

2022-11-09 15:11:51 1945 2

原创《网络安全笔记》第十四章：交换机的工作原理

00-00-00-00-00-00：默认填充地址，让不知道对方的MAC地址时，会自动填充一个目的MAC地址。一个MAC地址的表示方式：前面24位表示了厂商的编号，后面24位是序列号，从而就可以实现全球唯一。MAC地址由48位的二进制组成，通常表示为12位的十六进制。早期的共享式以太网，它是由集线器（HUB）相连（带宽共享）单独设备：当第八位为0的时候表示是单独设备，单播地址。一组设备：当第八位为1的时候表示是一组设备，组播地址。用来标识一个以太网上的某个单独的设备或一组设备。

2022-11-09 15:10:59 338

原创《网络安全笔记》第十三章：IP地址概述

用于标识网络中的某一台主机（某一个网络接口），主机的唯一标识，保证主机间的正常通信（主机想要进行网络通信，就必须配置相应的IP地址）私网地址是不能够在公网上进行直接路由的，需要网络地址转换将私网的地址转换为公网地址后方可访问公网内容，目标网站根据端口号确认访问来源。注：借7位时，没有可用的IP地址给主机，此网络中只有两个ip，一个是网络地址，一个是广播地址，此划分一般不会有。为方便记忆，8位为一组，以点进行分割，转换为十进制。网络部分越长，表示网络范围越小，网络部分越短，表示网络范围越大。

2022-11-01 10:27:19 370

原创《网络安全笔记》第十二章：二进制基础

在十进制数制系统中包括10个数字（0,1,2,3,4,5,6,7,8,9,）包含的数字（0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F）在二进制数制系统中只包括两个数字（0,1）十进制转任何进制都用反除、最后反写的方式。

2022-11-01 10:25:41 272

原创《网络安全笔记》第十一章：物理层

每一块网卡都会有一个身份标识，称为MAC地址，由48位的二进制组成，通常表示为12位的16进制数，全球唯一。屏蔽双绞线：外层有金属薄膜包裹，主要应用于电磁干扰比较强的场景。利用光的全反射原理，传输带宽高，传输距离远，抗干扰能力强。光纤是跟光模块配套的，光模块是什么接口，光纤就用什么接口。目前网卡为自适应网卡，根据网络速率进行自动选择。非屏蔽双绞线：主要应用于没有电磁干扰的场景。传输速率高、应用广泛、技术成熟、成本低。双绞线的分类（分类标准是质量）电脑要想上网，必须得有网卡。标准的网卡和PCMCIA。

2022-10-30 21:40:10 822

原创《网络安全笔记》第十章：数据的封装和解封装

应用层：原始数据传输层：数据段网络层：数据包数据链路层：数据帧物理层：比特流。

2022-10-29 22:50:14 2208

原创《网络安全笔记》第九章：计算机网络参考模型

由于早期计算机厂商使用的私有的网络模型，由ISO在1984年颁布OSI参考模型，将网络分为七层。

2022-10-29 22:49:26 874

原创《网络安全笔记》第八章：计算机网络基本概念

由两台或多台计算机通过网络设备进行串联（网络设备通过传输介质串联）网络设备计算机路由交换防火墙上网行为管理……传输介质双绞线（网线）5类、6类、7类光纤无线（2.4GHz、5GHz）

2022-10-29 22:47:56 833

原创《网络安全笔记》第七章：注册表基础

注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”，也可以说是一个非常巨大的树桩分层结构的数据库系统注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息，它包括了计算机的硬件配置，包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息，从而方便了管理，增强了系统的稳定性。

2022-10-29 22:46:41 1327

原创《网络安全笔记》第六章：组策略应用

组策略应用

2022-10-29 22:43:55 383

原创《网络安全笔记》第五章：windows文件共享

windows文件共享。

2022-10-29 22:42:50 954

原创《网络安全笔记》第四章：本地安全策略

本地安全策略

2022-10-29 22:41:34 280

原创《网络安全笔记》第三章：NTFS权限

NTFS权限

2022-10-29 22:40:20 1524

原创《网络安全笔记》第二章：Windows基础命令

Windows基础命令

2022-10-29 22:39:09 1063

原创《网络安全笔记》第一章：虚拟机基本操作

虚拟机基本操作

2022-10-29 22:37:14 795

原创【linux运维笔记】第一章 Linux发展史与安装

第一章 Linux发展史与安装一、Linux发展史1、Linux前身-Unix（1）1968年 Multics项目MIT、Bell实验室、美国通用电气有限公司走到了一起，致力于开发Multics项目。到后期由于开发进度不是很好，MIT和Bell实验室相继离开这个项目的开发，最终导致项目搁浅。（2）1970年（Unix元年，时间戳）Unix诞生当时在开发Multics项目的时候，实验室中有一个开发成员开发了一款游戏（travel space：遨游太空），因为两个实验室相继离开项目开发，导致这名开发

2022-01-08 21:01:26 243

原创《小迪网络安全笔记》第十三节：WEB漏洞-SQL注入之MySQL注入

前言MYSQL注入中首先要明确当前注入点权限，高权限注入时有更多的攻击手法，有的能直接进行getshell操作。其中也会遇到很多阻碍，相关防御方案也要明确，所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理，这样才是一个合格的安全工作者。高权限注入及低权限注入一、跨库查询及应用思路information_schema表特性，记录库名，表名，列名对应表1、获取所有数据库名：http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1 unio

2021-08-24 14:50:41 1027 1

原创《小迪网络安全笔记》第十二节：WEB漏洞-SQL注入之简要SQL注入

前言在本系列课程学习中，SQL注入漏洞将是重点部分，其中SQL注入又非常复杂，区分各种数据库类型，提交方法，数据类型等注入，我们需要按部就班的学习，才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞，学习如何利用，挖掘，修复也是很重要的。注：左边的比右边的难，学习顺序为从右向左。一、忍者安全测试系统使用说明二、上述思维导图简要说明操作系统：windows和linux对大小写敏感不同，如果查了操作系统可以避免这个问题。数据库名：如果不知道数据库名查询的时候会有问题。

2021-08-20 17:53:41 4649 3

原创《小迪网络安全笔记》第十一节：WEB漏洞-必懂知识点

前言本章节将讲解各种WEB层面上的有那些漏洞类型，具体漏洞的危害等级，以简要的影响范围测试进行实例分析，思维导图中的漏洞也是后面我们将要学习到的各个知识点，其中针对漏洞的形成原理，如何发现，如何利用将是本章节学习的重点内容！注：右边的漏洞比左边的漏洞更重要一、简要知识学习目的：CTF，SRC，红蓝对抗，实战等1、简要说明以上漏洞危害情况每个漏洞的危害都不一样，危害程度也有差距。遇到的这个漏洞可能没用，也可能与目的有间接关系，要有耐心。2、简要说明以上漏洞等级划分（1）右边的属

2021-08-20 17:47:28 697 1

原创《小迪网络安全笔记》第十节：信息收集-资产监控拓展

一、Github监控便于收集整理最新exp或poc便于发现相关测试目标的资产二、各种子域名查询1、在线网站2、搜索引擎3、枚举4、利用漏洞5、从主站爬取6、DNS解析7、whois查询8、关联查询9、域名大数据三、DNS,备案,证书四、全球节点请求cdn枚举爆破或解析子域名对应便于发现管理员相关的注册信息五、黑暗引擎相关搜索1、黑暗引擎：fofa，shodan，zoomeye2、黑暗引擎使用方法（1）网址搜索；（2）进行筛选，确定地区等；（3）确定中间件；注

2021-08-20 17:41:18 747

原创《小迪网络安全笔记》第九节：信息收集-APP及其他资产等

前言在安全测试中，若WEB无法取得进展或无WEB的情况下，我们需要借助APP或其他资产在进行信息收集，从而开展后续渗透，那么其中的信息收集就尤为重要，这里我们用案例讲解试试如何！一、APP提取一键反编译提取使用apkanalyser进行软件提取。二、APP抓数据包进行工具配合使用burp配合手游模拟器，进行抓包，之后查看历史流量，从历史流量中查找信息。三、各种第三方应用相关探针技术四、各种服务接口信息相关探针技术五、演示案例：APP提取及抓包及后续配合1、APP提取及抓包后续配合某AP

2021-08-06 21:52:14 673 1

原创《小迪网络安全笔记》第八节：信息收集-架构、搭建、waf等

前言在安全测试中，信息收集是非常重要的一个环节，此环节的信息将影响到后续的成功几率，掌握信息的多少将决定发现漏洞机会大小，换言之决定着是否能完成目标的测试任务。也可以很直接的跟大家说：渗透测试的思路就是从信息收集这里开始，你与大牛的差距也是从这里开始的！#申明：涉及的网络真实目标只做技术分析，不做非法操作！一、CMS识别技术二、源码获取技术三、架构信息获取四、站点搭建分析（重点）1、搭建习惯-目录型站点通过目录层级将两个网站分开2、搭建习惯-端口类站点通过不同的端口将两个网站分开

2021-08-05 22:50:44 1083

原创《小迪网络安全笔记》第七节：信息收集-CDN绕过

前言1、概念CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。2、目的为了提高访问速度。二、如何判断目标存在CDN服务？利用多节点技术进行请求返回判断，即用超级ping（https://ping.chinaz.com/）进行查看，看是否是多节点。三、CDN对于安全

2021-08-04 22:05:46 1417

原创《小迪网络安全笔记》第六节：基础入门-加密编码算法

第六节：基础入门-加密编码算法前言在渗透测试中，常见的密码等敏感信息会采用加密处理，其中作为安全测试人员必须要了解常见的加密方式，才能为后续的安全测试做好准备，本次课程将讲解各种加密编码等知识，便于后期的学习和发展。一、常见加密编码等算法解析1、MD5（0-9，a-z）：使用最多的，可以通过CMD5进行解密；2、SHA（0-9，a-z）：分为SHA356/384/512，字符越大长度越长；3、ASC4、进制5、时间戳：以计算机的时间为基础进行多样化加密，网站、服务器、脚本语言里经常

2021-08-03 21:55:12 462

原创《小迪网络安全笔记》第五节：基础入门-系统及数据库等

第五节：基础入门-系统及数据库等前言除去前期讲到过的搭建平台中间件、网站源码外，容易受到攻击的还有操作系统、数据库、第三方软件平台等，其中此类攻击也能直接影响到WEB服务器安全，导致网站或服务器权限的获取。一、操作系统层面1、识别操作系统常见方法（1）如果对方有网站：将网站链接进行大小写修改（后缀名除外），linux大小写敏感，windows大小写不敏感。例如：www.xiaodi8.com/hackwww.xiaodi8.com/HacK（2）如果对方没有网站通过nmap进行检查

2021-08-03 17:02:41 427

原创《小迪网络安全笔记》第四节：基础入门-WEB源码拓展

第四节：基础入门-WEB源码拓展前言：WEB源码简介WEB源码在安全测试中是非常重要的信息来源，可以用来代码审计漏洞，也可以用来做信息突破口，其中WEB源码有很多技术需要简明分析。比如：获取某ASP源码后可以采用默认数据库下载为突破，获取某其他脚本源码可以进行代码审计挖掘或分析其业务逻辑等，总之源码的获取将为后期的安全测试提供了更多的思路。一、关于WEB源码1、网站目录详解（1）admin：网站后台（2）data：数据相关目录（3）install：安装（4）member：会员账号数据（

2021-08-03 17:01:06 890

原创《小迪网络安全笔记》第三节：基础入门-搭建安全拓展

第三节：基础入门-搭建安全拓展一、常见搭建平台脚本启用ASP、PHP、ASPX、SP、PY、JAVAWEB等环境二、域名IP目录解析安全问题IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息，而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问，域名访问的时候一般只会指向某个目录，IP访问的时候指向的是根目录。三、常见文件后缀解析对应安全指定后缀名对应某个文件，访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。

2021-08-03 16:59:41 594

原创《小迪网络安全笔记》第二节：基础入门-数据包拓展

第二节：基础入门-数据包拓展一、网站解析对应#简要网站搭建过程1、涉及到的攻击层面（源码、搭建平台、系统、网络层等）2、涉及到的安全问题（日志、敏感文件、弱口令、ip及域名等）二、HTTP/S数据包#Requset：请求数据包#Response：返回数据包#Proxy：代理服务器http（明文）https（加密）HTTPHTTPTCPSSL or TLSIPTCPIP1、HTTP和HTTPS具体区别#HTTP简要通信过程

2021-08-03 16:54:17 371

原创《小迪网络安全笔记》第一节：基础入门-概念名词

第一节：基础入门-概念名词一、域名1、概念域名就是网站的名字2、域名在哪里注册？万网3、域名发现对于安全测试的意义多级域名给主站的渗透多了一种可能性。（比如通用的密码等）二、DNS1、本地host文件和DNS的关系ip地址首先通过host指定的dns进行解析，解析不了之后去互联网上的dns去解析。2、CDN和DNS的关系CDN：内容分发网络，缓存节点技术，根据地区进行节点分发。通过dns服务我们可以很快的定位到用户的位置，然后给用户分配最佳cdn节点。但是这

2021-08-03 16:51:03 618 1

原创第一章：战前准备—环境安装

注：本笔记来自掌控安全kali基础课程文章目录第一章：战前准备—环境安装第一节：kali快速安装配置及常见问题一、VMware网络配置1、bridged（桥接模式）2、NAT（网络地址转换模式）3、Host-Only（主机模式）二、kali系统更新1、kali为什么要更新？（1）系统源（2）Linux下载软件的两种方式（3）注意2、选择不更新Metasploit3、kali系统更新后出现问题三、配置kali系统源1、kali系统更新源四、SSH服务1、简介2、作用3、配置SSH服务五、kali工具包简.

2021-07-04 17:03:41 232

原创《DW学习笔记》模块二：HTML基础

模块二：HTML基础文章目录模块二：HTML基础任务1：HTML文档的基本结构和基本语法一、HTML简介1、HTML概念2、HTML功能二、HTML文档的基本结构三、文字版面编辑的标签1、META标签2、HTML body标签3、段落标签``（1）格式（2）属性说明（3）例如输出结果为4、换行标签``例如输出结果为5、预定义标签``例如输出结果为6、分隔标签``（1）概念（2）作用（3）可选属性7、列表标签（1）项目列表和编号（2）例如输出结果为（3）有序列表``常用的type属性（4）无序列表``常用

2021-03-23 16:13:13 1409 1

原创《DW学习笔记》模块一：初识网页设计

模块一：初识网页设计任务1：网页设计相关概念一、网页与网站什么是网页（web page）？网站中的一页，一个网站中的网页通过“超链接”的方式被组织在一起。什么是网站（web site）？互联网上用于展示特定内容的相关网页的集合。二、网页的构成元素1、构成网页的元素，主要包括：文字、图像、音频视频、动画、样式、各类脚本等（1）文字文字是网页最基本的组成元素之一。文字在网页中的表现形式主要涉及到字体、字号和编码。（2）图像图像也是网页中最常见的元素之一，比文字的效果形象、生动。常

2021-03-23 16:00:31 3092

原创《python学习笔记》第七节：面向对象

注：本笔记来自B站黑马程序员的Python课程第七节：面向对象第一节：Python介绍第二节：pycharm的基本使用第三节：基础语法第四节：分支语句文章目录第七节：面向对象目标一、面向对象概念二、类1、类的组成（1）概念（2）特征分类2、类定义3、创建对象三、成员变量定义与调用1、类成员——成员变量（1）定义格式一：公有属性（常用）：（2）定义格式二：独有属性（不常用）：注意：格式二声明变量：（3）两种变量定义的区别四、成员方法定义与调用1、定义格式一：调用格式一：例如：2、定义格式二.

2021-03-13 15:58:55 163

原创《网络工程师笔记》第01课：计算机网络概论

注：本笔记来自温晓飞老师的网络安全课程第01课：计算机网络概论未完待续文章目录第01课：计算机网络概论第01课：计算机网络概论一、计算机网络概念考点01考点02考点03二、计算机网络分类考点04三、网络协议体系结构考点05考点06考点07考点08四、计算机网络传输过程考点09①网络数据传输整个过程——数据封装②网络数据传输整个过程——数据传输③输整个过程——数据解封五、网工例题分析1、例题例题001例题002例题003例题0042、答案例题001：A例题002：D例题003：B例题004：B六、.

2021-02-05 18:30:44 361

小迪网络安全课件.txt

windows用户及用户组管理小程序（bat脚本）

定时关机小程序（bat脚本）

空空如也