- 博客(28)
- 收藏
- 关注
RSS订阅原创 Tamper
priority= PRIORITY.LOW# 对当前脚本的介绍,可以为空pass“”"对传进来的payload进行修改并返回函数有两个参数。主要更改的是payload参数,kwargs参数用得不多。在官方提供的Tamper脚本中只被使用了两次,两次都只是更改了http-header“”"# 增加相关的payload处理,再将payload返回# 必须返回最后的payloadpriority。
2024-04-17 17:34:06
881
原创 Weak password issue in the background
【代码】Weak password issue in the background。
2024-04-17 17:26:08
98
原创 Windows 安全基础
Windows中00/03/08/12和Centos都属于服务器系统,但是Centos是免费开源的。虚拟化可以实现在一个系统上打开多个系统。寄居架构是通过提供特定服务的应用程序上安装都个操作系统,这种应用程序是在某种系统上运行的。直接安装在硬件上的系统为宿主;原生架构的虚拟机软件直接安装在计算机硬件上,虚拟机本身就是一个操作系统,在这个虚拟机中可以同时运行多个操作系统。虚拟机产品:Vmware公司研发的产品,VMware Workstation属于寄居架构,而VMware vSphere属于原生架构;微软公
2024-04-17 17:07:37
847
原创 Python 安全阶段
渗透测试的基本流程:明确目标、信息搜集、漏洞探测、漏洞验证、信息分析、获取所需信息、信息整理、形成报告。python脚本打包为可执行程序。渗透测试框架:在渗透测试过程中,会面对大量的渗透概念验证(Proof of Concept,POC) 和漏洞利用(Exploit,EXP),从中查找所需要的对应脚本非常困难,而渗透测 试框架的出现解决了这一问题,在编写时就将POC和EXP按照一定的格式进行限制,按照文件夹或文件名进行分类,并内置了许多可调用的模块,以便于POC和 EXP的快速编写。
2024-04-17 17:02:26
421
原创 Python XCX阶段
要开发微信小程序就必须申请微信公众平台账户,在开发管理下找到开发控制并保存,还需要下载小程序开发工具。使用小程序创建项目需要登录,然后添加小程序并指定目录,最后粘贴并选择。开发小程序会默认创建文件,其。决定页面路劲、窗口表现、设置网络超时时间、设置多tab等。小程序根目录下的 文件用来对微信小程序进行全局配置。常用组件视图容器,属性说明。文本,属性说明。图片,支持 JPG、PNG、SVG、WEBP、GIF 等格式,2.3.0 起支持云文件ID,属性说明。flex布局,一种非常
2024-04-17 17:01:19
841
原创 Linux阶段
Linux是由Unix操作系统为内核的类Unix操作系统,Mac OS也属于类Unix操作系统的。Linux第一个用户就是,密码默认没有的可以直接进入。登录后最前方会出现一段字符字符串,#为管理员而$是普通用户。在远程登录可以连接。ifconfigip addr配置网络:点击编辑在下拉框中选择虚拟网络编辑,选择VMnet8后勾选Nat模式、将主机虚拟适配器链接此网络和使用本地DHCP。设置子网和子网掩码并点击NAT设置,点进去之后设置网关即可。在Linux中配置。。
2024-04-17 17:00:10
1154
原创 Flask阶段
短小精悍并上下文管理,可扩展强的一个web框架。,我们做web开发时,是站在两大东西之上做的web框架和wsgi,Flask和Django中都是应用的并不是自己写的。Flask中werkzurg就是。web服务网关接口,wsgi是一个协议,实现该写一个的模块:wsgiref|werkzeug,实现其协议的模块本质上就是socket服务端用于接收用户请求,并处理。一般web框架基于wsgi实现,这样实现关注点分离。flask就是基于Werkzurg搭建起来的一个最简单的Flask。
2024-04-17 16:58:51
741
原创 WEB阶段(后)
WEB框架分为全能框架(Tornado)、连接框架(Django)、文件判断(flask)。http称为超文本传输协议,它是无状态、无连接的只会在你访问的时候链接将数据传输完后迅速断开。接受请求并返回:普通返回有响应头和响应体组成。客户端接收到响应后直接显示、重定向返回只有响应头其中更新时,可以通过"LOCSTION:",来指定更新到的页面。客户端接收到响应后再次发出一次请求(指定请求)。渲染Ajax(jQuery)js阻止默认事件的发生获取当前标签Http请求生命周期:请求头中提取
2024-04-17 16:57:57
540
原创 WEB阶段(前)
默认标签解释HTML headset headHTML body标签分为行内标签和块级标签,span,a,select 等,行内标签有多少占多少;div, h1,p 等块级标签 ,没有一行也要占满一行。有一些符号会冲突,随意需要字符码字符网站。p表示段落,默认段落之间是有间距的;dr 是换行符 。a标签锚,寻找页面中id相等的标签,将其标签放置再顶部H标签标签使用方法checkboxul and tablefieldsetCSS based
2024-04-17 16:56:27
871
原创 Python DBS阶段
数据就是描述事物的符号,文字、声音、图像等都是可以是计算机的数据。数据处理是值对数据进行收集、存储、分类、计算、统计、检索及传输的过程。数据处理的目的是得到信息。。数据库(DataBase,DB)是有组织的,可共享的想关数据的集合。数据库管理系统(DataBase Management System,DBMS)是管理数据库的软件系统。它的主要功能是管理和维护数据。数据库管理系统按照指定的结构存储数据,使数据具有高度的独立性,不同的应用程序可以直接操作这些数据。
2024-04-17 16:55:11
653
原创 Python爬虫阶段
install requests and BeautifulSoup module .data and cookies and headers请求与参数参数其他参数BeautifulSoupinstall BeautifulSoup module .BeautifulSoup是一个模块,该模块用于接收一个HTML或XML字符串,然后将其进行格式化,之后遍可以使用他提供的方法进行快速查找指定元素,从而使得在HTML或XML中查找指定元素变得简单。基本使用约束,
2024-04-16 23:12:16
372
原创 Python基础阶段
ASCII是最早的编码用8位表示,分别有两个函数将转为ASCII编码并转义,另一种是也是将数据转为ASCII编码但是不转义。ASCII中只有英文字母并没有其他语言,为了容纳其他语言就出现新的编码Unicode又称万国码是32位表示可用转对应字符,也可以用转对应十进制数,UTF-8编码是万国码压缩格式。Python中编写时在文件开头指定文件编码。保留字即关键字是不能用于标识和名称,可以使用函数查看当前版本的所有关键字(需要导入)。变量在内存中是有地址的,可以使用查看地址。Python中想要将一行命令写在多行,
2024-04-16 23:10:56
834
原创 Other Attack
中间人攻击(Man-in-the-Middle Attack),简称MITM攻击,是一种“间接”的入侵攻击。这种攻击模式是通过各种技术手段将入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。社会工程学攻击主要是利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身的弱点。Kali Linux提供了一个社会工程学工具集SET,可以用来实施社会工程学攻击。BurpSuite是Web安工具中的瑞士军刀,是一款抓包工具。
2024-04-16 23:02:14
334
原创 Fiddler WEB
分析no-cache字段值的缓存,如果Expires或Cache-Control字段的值包含no-cache,这样的资源是不会进行缓存的。在HTTP会话中,使用缓存可以减少对源服务器的访问次数,从而减轻资源服务器的负担,提升网站的性能,同时客户端加载网页的速度也会更快。外部控制缓存,除了以上介绍的HTTP的字段外,外部的其他环节也会影响到网页的缓存,如用户操作、HTML代码和Fiddler代理。内部控制缓存,HTTP提供了一些字段用来设置缓存。,这部分信息表示,缓存是最新的,响应信息将更新资源的有效期。
2024-04-16 23:01:24
953
原创 HuaWei Firewall
防火墙属于网络安全设备,其主要作用是通过各种配置,拒绝非授权的访问,保护网络安全。防火墙作为一个独立的硬件设备,可以通过访问控制、身份验证、数据加密、VPN技术等安全功能,形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网,同时还可以保护内部网络的安全。防火墙的发展历史,防火墙从出现到现在,主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代,统一威胁管理和下一代防火墙是最近几年提出的概念。华为USG6000系列防火墙于2013年9月正式发布,标志着华为防火墙进入一个新的发展阶段。
2024-04-16 23:00:38
659
原创 WEB Firewall
WEB Firewalliptables firewalliptables是用户空间命令行程序,它面向系统管理员,用于向内核Linux2.4.x或更高版本的内核传递过滤规则集,而过滤规则是由不同的Netfilter模块实现的。由于网络地址转换也是从数据包过滤规则集配置的,所以网络地址转换也可以使用iptables。。iptables的继承者是nftables,其在内核版本3.13中首次出现。iptables在网络防护时用于检查、修改、转发、重定向或丢弃IP数据包。过滤IP数据包的代码已经内置到
2024-04-16 22:58:59
607
原创 漏洞利用技术
模块按照不同用途可以分为7种类型,分别是Exploits(渗透攻击模块)、Auxiliary(辅助模块)、Post(后渗透攻击模块)、Payloads(攻击载荷模块)、Encoders(编码器模块)、Nops(空指令模块)和Evasion(规避模块)。所以,在进行渗透攻击前,用户需要准备不同的工作区,将扫描结果分开保存。扩展功能,为了加强Metasploit的漏洞利用功能,Metasploit还提供了一些扩展模块和其他功能,如Meterpreter、Msfvenom和免杀功能。
2024-04-16 22:57:42
640
原创 无线攻击技术
对于向任一方向发送的数据包,传输程序都将数据包的内容与数据包的校验和组合在一起,然后WEP标准要求传输程序构造一个针对数据包的特有初始化向量(IV),后者与密钥组合在一起,用于对数据包进行加密。工作原理:正常情况下,网卡都工作在管理模式,将要发送的数据包发往连接在一起的所有主机,数据包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的主机才能接收。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位和256位两种。密钥越长,安全性越高。
2024-04-16 22:56:16
618
原创 密码安全技术
如果要对密码实施暴力破解,则必须要有一个强大的密码字典。这里说的强大的字典,并不是指数量上的多少,而是指有效性。即使再大的字典文件,如果里面没有包含目标用户的密码,则仍然无法破解其密码。那么如何构建一个强大的密码字典呢?搜集信息就是其中最重要的一个阶段。为了方便记忆,大部分人会使用个人的相关信息作为密码。针对这个特点,渗透测试者可以搜集一些用户的个人信息,如主机名、手机号等来构建密码字典。
2024-04-16 22:54:48
812
原创 WEB漏洞发现
每当一个登录用户访问他的Myspace个人信息文件时,JavaScript代码就会执行,让浏览者成为Kamkar的Myspace好友,更新浏览者的个人信息文件并显示文本“最重要的是,Samy是我的英雄”。同样,大马有很多种脚本格式,其功能基本相同。根据SOL 注入漏洞的原理,在用户“可控参数”中注入SQL 语法,也就是说Web应用在获取用户数据的地方,只要带入数据库查询,都有存在SQL注入的可能,这些地方通常包括:GET数据、POST数据、HTTP头部(HTTP 请求报文其他字段)、Cookie 数据。
2024-04-16 22:53:10
697
原创 信息收集技术
主动信息搜集与目标主机进行直接交互,从而拿到目标信息,缺点是会记录自己的操作信息。而被动信息搜集不与目标主机进行直接交互,通过搜索引擎或者社会工程学等方式间接的获取目标主机的信息。僵尸扫描是非常隐蔽的,而且实施的条件非常严格。如果要实施僵尸扫描,则必须先找到合适的僵尸机。僵尸机必须符合以下两个条件:它需要是一个空闲主机,很少发送和接收数据包、它的IPID必须是递增的,0和随机都不可以。
2024-04-16 22:51:56
507
原创 TCP/IP协议簇
网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。它规定了通信时信息必须采用的格式和这些格式所代表的意义。网络中存在着许多协议,接收方和发送方使用的协议必须一致,否则一方将无法识别另一方发出的信息。TCP/IP协议是Internet网络的基础协议族。OSI协议层次结构就是现在常说的OSI参考模型(Open System Interconnection Reference Model)。
2024-04-16 22:49:52
883
原创 数据安全架构
安全传输,目的就是保障传输过程中的安全性,既要达到保密的效果,也要确定传输的内容完整无误,即没有被篡改。在具体实践中,有的企业成立了统一的风险管理部门,有的企业会针对重点领域,设立独立的仅针对该领域的风险管理部门,而且按照分工的不同,可划分为多个不同的部门。真正威胁比较大的XSS,是存储型XSS(或持久性XSS),也就是黑客提交的恶意内容,被写入数据库,并最终能够影响到几乎所有的用户,所有浏览到含有恶意内容页面的用户浏览器,将自动执行脚本,把自己的Cookie发给黑客指定的地址、跳转到指定的网站等。
2024-04-16 22:48:31
942
原创 前情提要概念
开机后双击磁盘,将第一个右上角选择抹掉,命名OS,点击确定(默认自动退回选择界面,不退自己点一下),选择安装macos后点击确定,后面的选择同意,到选择宗卷时选择名为OS的后确定,配置mac,无脑下一步,配置好后,点击选择偏好设置后选择安全与隐私,点击左下角锁子,输入密码将最后选中成为允许任何来源,点击vm的虚拟机菜单的tools,安装即可。这个Hackbar可以帮助你在测试SQL注入,XSS漏洞和网站的安全性,主要是帮助开发人员做代码的安全审计,检查代码,寻找安全漏洞。将Unlocker到放入。
2024-04-16 22:47:18
529
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人