跳楼梯企鹅
本人目前是人工智能专业大四学生,主修python机器学习,工业机器人的应用。
网络安全方向----(渗透测试工程师)定为自己未来职业目标。
展开
-
【网络安全专栏目录】--企鹅专栏导航
本专栏主要针对网络安全领域技术人,预计本专栏文章数为120篇左右,博主每周更新2-3篇,欢迎订阅!!!!!!!!!!!!原创 2022-07-30 13:13:15 · 13242 阅读 · 62 评论 -
【你所熟悉的网络真的安全吗?】万字文
近几年来网络信息安全越来越收到大众的重视,也有越来越多企业被爆出存在核弹级别的漏洞,那么你真的了解什么是网络安全吗?你真的了解你每天用到的电脑,用到的手机嘛?就此问题我想专门写一篇文章给大家讲解一下。下面附上一张图片关于网络的架构,我想也会肯定有人看不懂,所以我用最简单的方法来讲解。图片来源我们平时所用的网络也就是各大供应商在你家安装一个路由器,一般情况下这个路由器的ip,这里ip可以理解为是每个人都有不一样的姓名(在不考虑重复的情况下),当打开后路由器之后大家就可以通过输入密码来和流量进行握手。图片来原创 2022-06-19 11:01:18 · 4319 阅读 · 103 评论 -
【网络安全】Web安全渗透三大核心方向
Web安全渗透三大核心方向原创 2022-09-29 08:35:21 · 1755 阅读 · 38 评论 -
【网络安全】最全渗透学习攻略
最全渗透学习攻略🚀一、初识渗透测试🍁1.黑客、白客、红客区别⌛ (1)黑客⛺(2)白客🐦(3)红客🍁1.渗透测试的目的和意义⌛(1)目的⛺(2)意义🚀二、知识架构🍁1.需要学什么⌛(1)web基础知识⛄<1>.静态资源🌠<2>.服务器的操作系统⛄<3>.中间件⌛(2)web前端和php⛄<1>.web前端🍁<1>.php⌛(3)数据库<1>.关系型数据库⛄<2>.非关系型数据库⌛(4)burp工具🌠<1>.bur原创 2022-05-05 23:21:28 · 5868 阅读 · 81 评论 -
Linux操作系统(含命令大全)
总结Linux命令大全以及操作系统的认知。原创 2022-08-02 02:44:24 · 1221 阅读 · 116 评论 -
Centos7系统搭建
Centos7系统下的yumyum操作Centos7系统下的yumyum是什么二级目录三级目录yum是什么二级目录三级目录原创 2022-06-13 21:10:09 · 1081 阅读 · 48 评论 -
【网络安全】Kail操作系统
KAIL操作系统的初步认识原创 2022-08-03 00:36:35 · 1918 阅读 · 19 评论 -
【网络安全】网络资产收集管理
网络资产收集的方式方法原创 2022-06-30 00:04:00 · 3474 阅读 · 121 评论 -
【网络安全】Nessus漏洞扫描器的安装和使用
**Nessus漏洞扫描器的安全和使用**这里写目录标题Nessus漏洞扫描器的安全和使用Nessus介绍下载安装注册安装插件初始化使用注册模拟实战Nessus介绍Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。是一款非常主流的扫描漏洞工具。在平时检测web是否存在漏洞的时候是非常常用的一种方式。漏扫的软件有很多,比如我们熟悉的Acunetix(Acunetix这个软件破解版详情 点击链接:)下载下原创 2022-04-03 20:33:02 · 1892 阅读 · 2 评论 -
【云原生Docker容器下的灯塔资产收集】
1:下载灯塔资源包GitHub - TophantTechnology/ARL: ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。 因为我们是在contos7系统上搭建,所以需要的工具进行文件传输为了方便配置,我们这里使用ssh服务远程连接,这样的话你也可以根据这个教程把灯塔搭建在centos云服务器上面,使用的话比较方便vim /e原创 2022-06-19 17:32:02 · 1240 阅读 · 26 评论 -
【网络安全】Burpsuite使用和实战
Burpsuite使用和实战一、什么是burpsuiteburpsuite是现在非常实用的一款抓包工具,可对抓到的包进行各种漏洞处理。二、利用burp爆破账号密码1.打开burp2.对网址进行抓包3.争对抓到的数据包进行爆破如果同时爆破用户名和密码 注意选择第四个4.配置好爆破参数,开始爆破这里明显看到了有一个账号密码返回的长度不一样 ,那就说明这个密码是正确的5.验证点击登录三、总结利用这个技术爆破是比较简单的,需要提前配置很多环境的ip希望各位技术有不要那技术原创 2022-03-24 13:57:44 · 1189 阅读 · 3 评论 -
【网络安全】利用burp进行爆破(普通爆破+验证码爆破)
黑客爆破手法原创 2022-06-08 16:27:42 · 6089 阅读 · 92 评论 -
太厉害了MySQL总结的太全面了
sql注入超强合集原创 2022-05-28 20:34:36 · 18986 阅读 · 193 评论 -
【网络安全】SQL注入详细分析
SQL注入**超详**原创 2022-04-06 09:34:54 · 5510 阅读 · 4 评论 -
【网络安全】sql注入语法汇总
SQL注入语法汇总大全原创 2022-07-07 01:20:39 · 16952 阅读 · 276 评论 -
【网络安全】sqlmap实战
sqlmap实战一、sqlmap配置(1)python27安装(2)sqlmap安装(3)配置环境变量(4)验证是否配置完成二、sqlmap语法(1)常用语法及其说明(2)sqlmap的使用说明三、sqlmap实战实战操作四、总结一、sqlmap配置(1)python27安装python2.7 下载地址这里可以任意选择一个2.7的版本进行下载.安装的时候最好自己新建一个python文件夹安装(我这里安装路径为D:\python\python2.7)(2)sqlmap安装1.sqlmap的 下原创 2022-04-09 19:53:01 · 1208 阅读 · 11 评论 -
【网络安全】面试中常见问题--sql注入篇
渗透测试工程师面试sql注入篇问题汇总原创 2022-07-20 23:38:02 · 3936 阅读 · 35 评论 -
【网络安全】真难得文件上传这么通俗易懂
文件上传漏洞一、1.什么是文件上传(1)定义(2)原理2.文件上传漏洞的危害(1) 危害(2)产生危害的原因二、文件上穿漏洞分类1.客户端校验2.黑名单绕过(1)扩展名绕过(2)后缀大小写绕过(3)双层后缀绕过(4)空格绕过(5)点绕过(6)上传.htaccess(7)::$DATA绕过3.白名单绕过(1)web解析绕过(2)00截断绕过(3)mime文件绕过三、条件竞争什么是条件竞争四、二次渲染1.什么是二次渲染2.二次渲染演示五、漏洞修复1.漏洞修复的方法六、小结一、1.什么是文件上传(1)定义文原创 2022-04-30 17:14:40 · 5672 阅读 · 87 评论 -
【网络安全】绝对路径寻找方法
绝对路径寻找方法1.单引号找路径在一些参数后面加入单引号2.错误参数找路径单引号很可能会触发waf,可以将参数改为很发杂的字母组合,找路径。3.通过搜索引擎找路径(这里指的是谷歌语法)例如:site:xxx "warning" site:xxx "fatal error"4.测试文件找路径网站通过XAMPP或者phpstudy软件搭建,有一些测试文件 text.php 、phpinfo.php、1.php、info.php等,还需要时间情况下根据情况而定。5.配置文件找路径如果盲原创 2022-04-22 07:27:42 · 1936 阅读 · 11 评论 -
【网络安全】文件上传靶场通关(1-11关)
upload-labs靶场1-11关卡详细讲解原创 2022-07-18 16:08:31 · 4560 阅读 · 95 评论 -
windows下宝塔安装教程
windows下宝塔安装教程目录宝塔是什么?宝塔安装流程1.下载2.配置3.登录4.安装的环境套件小结宝塔是什么?宝塔是管理服务器的免费的软件,宝塔上面可以进行对你的服务器批量进行管理,对于运维人员来说还是必不可少的一个软件,值得使用。宝塔安装流程1.下载链接: https://download.bt.cn/win/panel/BtSoft.zip 下载后安装买最好自定义目录,方便找2.配置下载完成后会出现这个页面,对着页面进行配置点击默认密码复制进来,这里注意一点就是一定要查看原创 2022-05-14 14:14:41 · 3434 阅读 · 40 评论 -
【网络安全】网站中间件存在的解析漏洞
常见的中间件解析漏洞原创 2022-07-24 14:14:57 · 1686 阅读 · 24 评论 -
【网络安全】文件包含漏洞解析
文件包含漏洞解析原创 2022-08-14 00:53:54 · 4593 阅读 · 54 评论 -
【网络安全】文件包含漏洞--通过日志投毒getshell
文件包含漏洞--通过日志投毒getshell原创 2022-09-04 00:26:01 · 19109 阅读 · 89 评论 -
【网络安全】文件包含漏洞--使用session进行文件包含
使用session进行文件包含原创 2022-09-04 17:05:42 · 1303 阅读 · 65 评论 -
【网络安全】利用samba服务绕过未开启文件包含配置
利用samba服务进行远程文件包含原创 2022-08-28 18:01:23 · 32588 阅读 · 125 评论 -
【网络安全】XSS跨站脚本漏洞可以讲的这么详细
XSS跨站脚本漏洞一、了解XSS漏洞是什么1.XSS定义2.XSS危害3.XSS漏洞产生原因二、XSS漏洞分类1.反射性XSS(1)什么是反射型XSS(2)演示2.DOM型XSS(1)什么是DOM型XSS(2)演示3.存储形XSS(1)什么是存储型XSS(2)演示三、XSS绕过1.标签外(1)直接添加标签绕过1.标签内(1)构造闭合(2)填写事件(3)大小写绕过绕过演示(4)双写绕过(5)编码转译绕过(6)空格、回车、table绕过(7)非闭合标签(8)利用特性进行绕过四、小结一、了解XSS漏洞是什么1原创 2022-04-27 16:49:52 · 584 阅读 · 33 评论 -
【网络安全】实操XSS订单系统漏洞(利用盲打)
xss订单靶场实战原创 2022-09-07 14:14:45 · 4166 阅读 · 73 评论 -
【网络安全】beef-xss实操以及xss修复方案
beef-xss实操原创 2022-09-07 14:03:19 · 2205 阅读 · 48 评论 -
【网络安全】CSRF漏洞详细解读
CSRF一 CSRF介绍1.什么是CSRF2.CSRF漏洞危害二 CSRF的三种漏洞1.GET类型CSRF2.POST类型CSRF3.Token类型CSRF三 靶场演示四 CSRF漏洞修复方法修复方案(1)验证http referer字段(2).在请求地址中添加token并验证(3)在http头中⾃定义属性并验证(4)其他防御⽅法五 小结一 CSRF介绍1.什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Se原创 2022-05-22 15:44:06 · 1724 阅读 · 53 评论 -
[网络安全]实操DVWS靶场复现CSRF漏洞
实操AWVS靶场复现CSRF漏洞原创 2022-08-10 00:30:56 · 3057 阅读 · 110 评论 -
【网络安全】SSRF漏洞讲解
SSRF漏洞讲解一、初识SSRF漏洞1.定义2.产生原理3.会导致的危害4.常见产生SSRF的地方5.常见缺失函数二、SSRF漏洞利用1.函数(1) file_get_contents(2)fsockopen()(3) curl_exec()2.协议(1)file协议(2)http协议(3)dict协议(4)gopher协议三、绕过1.绕过方式(1)检查IP是否为内网IP(2)Host获取与DNS绕过(3)通过各种协议(4)利用URL解析器滥用问题四、修复修复方案五、小结一、初识SSRF漏洞1.定义原创 2022-05-22 16:31:37 · 2563 阅读 · 53 评论 -
【网络安全】逻辑漏洞保姆级讲解
逻辑漏洞超强解读原创 2022-09-29 07:45:44 · 2087 阅读 · 43 评论 -
【网络安全】XXE漏洞详细解析
XXE漏洞详细解析原创 2022-09-30 00:00:00 · 2013 阅读 · 4 评论 -
【网络安全】反序列化漏洞详细解析
反序列化漏洞详细解析原创 2022-09-30 00:00:00 · 2894 阅读 · 0 评论 -
【网络安全】nc的安装和简单操作
nc的安装和简单操作一.下载nc(这里我用的是yum源的下载)命令: yum install -y nc二.实现连接通信操作(我这里用的是两台虚拟机相互通信, 分别是contos 7 x86版 和 kali 2022版,这里可以把contos当作靶机,kali当作客户端)1.查找kali的ip地址命令:ifconfig2.利用nc 打开端口进行监听(这里我打开的是9999端口)命令:nc -lnvp 9999这样就说明已经开始监听了。3.打开contos 7 连接kali命令:nc原创 2022-03-08 18:28:23 · 15403 阅读 · 5 评论 -
【网络安全】ettercap详细使用
ettercap劫持一、什么是ettercap(1)Ettercap是一款用户用于远方控制的黑客工具,是非常主流的工具之一,简单的来说一下原理吧----所有的物理机执行命令都是通过命令发送给DNS解析,DNS解析命令后,发送给服务器,服务器再发给主机进行响应。图片来源:https://image.so.com/view?q=dns%E8%A7%A3%E6%9E%90%E8%BF%87%E7%A8%8B&src=tab_www&correct=dns%E8%A7%A3%E6%9E%90原创 2022-03-12 19:43:02 · 8984 阅读 · 2 评论 -
【网络安全】Xhydra使用与实操
Xhydra使用与实操一.简介什么是xhydra?Xhydra是一款黑客用于爆破的工具,主要针对密码和用户名的爆破,想实现这个功能的爆破需要在同一局域网下,建立各位小伙伴们,可以用虚拟机搭建一个靶机进行操作,我这里很简单(模拟攻击的系统为kali liunx2022版本,靶机为contos7)二.Xhydra安装1.打开kali(注意需要是root管理员登录,你也可以选择不用管理员权限登录,在终端切换root即可)2.打开终端注意这里的目录,需要在更目录下面,咱们现在切换到根目录下。命令原创 2022-03-12 16:07:52 · 8747 阅读 · 4 评论 -
【网络安全】如何限制内网网速
如何限制内网网速演示一、废话不多说,之就开始实战首先我们用的的系统的kail靶机:contos7打开kail终端输入命令下载工具,进行下载.git clone git://github.com/bitbrute/evillimiter.git如果无法下载登录 github.com/bitbrute/evillimiter.git下载后复制到kail里面在进行解压终端进入文件cd evillimiter安装sudo python3 setup.py install显示这样说明 安装成原创 2022-05-24 01:01:49 · 1535 阅读 · 45 评论 -
【网络安全】MSF内网渗透
内网渗透超级强悍原创 2022-06-04 21:04:05 · 2856 阅读 · 33 评论