- 博客(45)
- 收藏
- 关注
RSS订阅原创 xss-labs1-10关
第一关:html部分标签可以解析js第二关:可以看到value用双引号闭合了,使用上一关的payload没用,尝试一下闭合这个input所以使用双引号和>闭合后再加入上一关的payload第三关:通过查看源码发现是使用了单引号闭合再使用上一关payload发现它在输入get时使用了.htmlspecialchars(HTML实体编码)这个函数是PHP中的一个编码函数,用于将字符串中的特殊字符转换为对应的HTML实体。它通常用于确保字符串在HTML页面中显示时不会出现意外的效果。
2024-04-07 17:43:14
554
原创 upload文件上传漏洞复现
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
2024-03-14 18:40:44
663
2
原创 OSPF协议
开放式最短路径优先协议OSPF(Open Shortest Path First)协议是一种用于动态路由的内部网关协议(IGP)。它是一种开放式协议,用于在大型IP网络中通过选择最佳路径来传递数据。OSPF协议使用链路状态路由算法,它通过收集网络上的路由信息,并计算最短路径。OSPF协议可以根据网络的拓扑结构和链路状态来动态调整路由,并根据实时情况更新路由表。它具有快速收敛、可伸缩性强、支持可区分服务(QoS)等特点,被广泛用于大型企业网络和互联网中。
2024-03-07 16:21:05
1075
1
原创 sqllabs第46关 order by 注入
请求方法:POST方法:order by注入+错误回显+数字型注入先了解下 order by参数注入:order by 注入是指其后面的参数是可控的,order by 不同于我们在 where 后的注入点,不能使用 union 等注入,其后可以跟接 报错注入 或者 时间盲注。????
2024-02-21 22:21:01
457
原创 SQL注入-sqli-labs-master第一关
Nginx.1.15.11MySQL:5.7.26 在id=1后加入一个闭合符号',如果报错,再在后面加上 --+ 将后面注释掉,如果不报错,则证明为字符型。 order by 查询字段个数,逐级增加order by 后面的数字,直到报错。这里是order by到第4个字段时报错,所以证明有3个字段。三个字段四个字段 用select查询前三个字段,目的是为了知道哪几个字段在前端显示,这样我们可以将想要查询的数据将前端显示的字段替
2024-01-28 21:15:08
1105
原创 创建存储函数
功能查询employees表的平均薪资满足条件department_id为deptno,job_id为job的平均工资。2、创建一个存储过程avg_sal,有3个参数,分别是deptno,job,接收平均工资(out);1、创建一个可以统计表格内记录条数的存储函数 ,函数名为count_sch()glass VARCHAR(50) 否 否 是 否 否。name VARCHAR(50) 否 否 是 否 否。字段名 数据类型 主键 外键 非空 唯一 自增。id INT 是 否 是 是 否。
2023-12-09 20:37:54
67
原创 MySQL授权密码
3、授权用户tom,密码Mysql@123,能够从任何地方登录并管理数据库school。2、在school数据库中创建Student和Score表。1、创建数据库school,字符集为utf8。
2023-12-05 18:53:56
191
原创 sql查询练习
3.从student表查询所有学生的学号(id)、姓名(name)和院系(department)的信息。15.从student表和score表中查询出学生的学号,然后合并查询结果。17.查询都是湖南的学生的姓名、年龄、院系和考试科目及成绩。4.从student表中查询计算机系和英语系的学生的信息。16.查询姓张或者姓王的同学的姓名、院系和考试科目及成绩。5.从student表中查询年龄35~40岁的学生信息。13.查询同时参加计算机和英语考试的学生的信息。9.用连接的方式查询所有学生的信息和考试信息。
2023-11-28 20:40:41
53
原创 select语句
6、创建一个只有职工号、姓名和工作时间的新表,名为工作日期表。12、列出所有部门号为2和1的职工号、姓名、党员否。13、将职工表worker中的职工按出生的先后顺序排序。2、查询所有职工所属部门的部门号,不显示重复的部门号。9、列出1992年以前出生的职工的姓名、参加工作日期。10、列出工资在1000-5000之间的所有职工姓名。8、列出所有姓张的职工的职工号、姓名和出生日期。14、显示工资最高的前3名职工的职工号和姓名。11、列出所有陈姓和李姓的职工姓名。5、列出职工的平均工资和总工资。
2023-11-28 20:00:31
38
原创 学习js难点
由于外部函数f1已经执行完毕,其内部变量N应该在内存中被清除,然而事实并不是这样:我们每次调用result的时候,发现变量N一直在内存中,并且在累加。在代码中,module为一个独立的模块,N为其私有属性,print为其私有方法,decription为其公有属性,add为其共有方法。立即执行函数,即Immediately Invoked Function Expression (IIFE),正如它的名字,就是创建函数的同时立即执行。但是实际上,这些变量依然可以被访问和修改,并非真正的私有变量。
2023-11-10 17:42:18
30
原创 正则验证用户名和跨域postmessage
首先启动D:\web\web03\web03.html和D:\web\web04\web04.html进行信息跨越传递。如果用户名输入合法, 则后面提示信息为 : 格式正确。如果用户名输入不合法, 则后面提示信息为: 格式错误。二,跨域postmessage。一 ,正则验证用户名。
2023-10-08 19:02:47
36
原创 shell脚本for循环的使用
地址为:192.168.239.139。(原密码为123456)使用for循环实现批量主机root密码的修改打开多台主机使用ssh-keygen命令建立密钥对(多台主机间通过ssh-copy-id进行免密登录编写脚本for3sh.通过for循环登录主机修改对方root账户密码编写脚本for1.sh,使用for循环,通过ping命令测试网段的主机连通性,IP前3段由用户输入,如: 输入192.168.48 ,则ping 192.168.48.125 - 192.168.48.135,将可以
2023-09-14 17:44:19
133
原创 SSL VPN
网站服务器收到加密的随机串后,会利用自己的私钥进行解密,得到由客户端生成的随机串。这包括标准的SSL端口(例如443端口)和其他配置的SSL VPN使用的端口。即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。一旦SSL VPN连接建立成功,防火墙需要允许SSL VPN客户端通过SSL VPN隧道访问内部受限资源的流量。根据所选择的SSL VPN解决方案,防火墙需要放行相应的VPN协议流量。
2023-08-10 10:12:07
244
原创 密码学完整应用口语解释
首先对原始信息进行hash运算得到信息摘要,然后使用发送者Alice私钥进行签名(签名的作用是验证该信息是Alice的),然后将原始信息+数字签名+Alice证书(该Alice的证书是由CA组织进行办发的,主要作用就是防止第三者修改内容信息,保证安全性,)使用对称密钥(Alice证书里面包含公钥)进行加密传送数据,由此该信息变为加密信息,然后通过CA颁发证书措施得到Bob的公钥,使用Bob的公钥加密对称密钥得到密钥信封,将密钥信封和加密信息一同发给Bob;发送者为Alice 接受者为Bob。
2023-08-08 19:36:39
40
原创 密码学-IPSEC-IKE-AH
1.什么是身份认证? 2.什么是VPN技术? 3.VPN技术有哪些分类? 4.IPSEC技术能提供那些安全服务? 5.IPSEC的技术架构是什么? 6.AH与ESP封装的异同? 7.IKE的作用? 8.IKE的工作原理? 9.IKE第一阶段有哪些模式?有哪些区别?使用场
2023-08-08 19:19:14
81
原创 IPSEC实验
最后使用PC1pingPC2时,在中间公网路由抓包可以看到,流量已被加密。时间为默认,不配置,大部分都有默认值。v1可以选主模式或野蛮模式。
2023-08-01 14:24:09
70
原创 IDS简析
IDS是入侵检测系统(Intrusion Detection System)的缩写。它是一种安全技术,用于监控计算机网络或系统,以识别并响应恶意行为或未经授权的访问。IDS的主要功能是分析网络流量和系统活动日志,以检测可能的入侵行为或安全事件。IDS可以分为两种类型:基于主机的IDS(HIDS)和基于网络的IDS(NIDS)。HIDS安装在单个计算机上,监视该主机的系统日志和活动。它可以检测到本地发生的攻击和异常行为。NIDS则位于网络上,监视经过它的网络流量。
2023-08-01 12:45:06
810
原创 防病毒网关及反病毒技术总结
(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权;将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在。宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
2023-07-31 19:34:30
34
原创 防火墙双机热备技术
随着移动办公、网上购物、即时通讯、互联网金融和互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。双机热备份技术的出现改变了可靠性难以保证的尴尬局面,它通过在网络出口位置部署两台防火墙,保证了内部网络与外部网络之间的通讯可靠性。
2023-07-31 18:33:35
42
原创 安全防御第一课
通过建立有效的安全措施和实施安全策略,可以及时发现和阻止网络攻击,保护网络的正常运行和用户的利益。网络安全的实施可以防止未经授权的访问、数据泄露、篡改或破坏,保护用户和组织的数据安全。通过有效的网络安全措施,可以保护企业的核心资产和业务机密,维护企业在市场中的竞争地位。在数字化时代,个人的隐私和敏感信息容易被盗取、滥用或公开曝光。网络安全措施可以确保个人信息的私密性,避免不必要的数据收集和滥用,保护用户的权益。总而言之,网络安全的重要性在于保护数据安全、预防网络攻击、维护隐私和个人权利,以及保障商业利益。
2023-07-22 21:50:04
42
原创 配置DNS的正反向解析
在vim /etc/named.conf最后(添加)$TTL 1D0;serial1D;refresh1H;retry1W;expire3H );minimum。
2023-06-04 17:22:17
43
原创 搭建简单网站
www.openlab.com/student 网站访问学生信息。www.openlab.com/money 网站访问缴费网站。www.openlab.com/data网站访问教学资料。首先关闭防火墙和selinux,创建网页目录并写入本地。编辑http的主配置文件,并写入内容,重启。添加用户并增加用户密码访问控制。
2023-06-02 17:58:07
39
原创 配置ntp时间服务器及远程登录
配置的时阿里云的时间服务器-----pool ntp.aliyun.com iburst。允许192.168.179.0/24网段的客户端使用-------
2023-05-23 18:40:24
60
原创 atd和crond的区别和使用
atd单一执行的例行性任务:单一执行任务,不会显示到屏幕上,职系那个的动作最好使用绝对路径书写,只会执行一次 ,仅处理执行一次就结束。crond循环执行的例行性任务:每个一定的周期就需要执行一次。
2023-05-23 18:01:54
65
原创 bgp综合实验
1,AS1存在两个环回,一个地址为192.168.1.0/24该地址不能在任何协议中宣告AS3中存在两个环回,一个地址为192.168.2.0/24该地址不能在任何协议中宣告,最终要求这两个环回可以互相通讯 As1的另一个环回为10.0.0.0/24,AS3的另一个环回为11.0.0.0/242,整个AS2的IP地址为172.16.0.0/16,请合理划分3,AS间的骨干链路IP地址随意定制4、使用BGP协议让整个网络所有设备的环回可以互相访问5,减少路由条目数量,避免环路
2023-04-15 23:57:51
30
原创 MGRE环境下的OSPF实验
配置所有接口IP,再在边界路由器上配置缺省路由指向ISP,搭建MGRE环境,R1/2/3为中心到站点结构,R1为中心;R1/4/5为全连结构,即每个站点都是中心,需要互相注册,运行ospf宣告私网路由,修改R1/4/5的全连tunnel口ospf网路类型broadcast;修改R1/2/3的星型tunnel口的ospf网路类型为broadcast。
2023-04-07 22:47:24
34
原创 MGRE实验——9步
isp]aaa[isp]aaa[isp-aaa]q[Y/N]:y[Y/N][r1-rip-1][r2]rip[r2-rip-1][r3]rip[r3-rip-1][r4]rip。
2023-03-23 22:41:58
37
原创 练习~地址分配,dhcp,链路优先级
将100M的线路优先级设置为61,使正常使用1000M链路,故障时使用100M链路。12.0.0.0/24为公有地址。R6telnetR5的公有IP时实际登录到R1。PC端DHCP开启自动获取IP地址。2·使用静态路由配置全网可达。
2023-03-16 21:20:30
120
原创 RHCSA~linux 磁盘分区、添加网卡、配置yum本地源、查看sshd进程号
4、添加一块10G大小的磁盘,将该磁盘分为两个主分区,大小为1G、2G。将剩余的空间全部划分为扩展分区。划分一个逻辑分区,大小为3G。(主分区文件系统类型为ext4,逻辑分区文件系统类型为xfs)1、配置网络:为网卡添加一个本网段IPV4地址,x.x.x.123。2、配置yum本地仓库,并完成traceroute命令的安装。3、用至少两种方法查看sshd服务的进程号。
2023-02-17 12:45:23
82
原创 RHCSA-文件查找打包
1、文件查看:查看/opt/passwd文件的第6行 2、文件查找 (1)在当前目录及子目录中,查找大写字母开头的txt文件 (2)在/etc及其子目录中,查找host开头的文件 (3)在$HOME目录及其子目录中,查找所有文件 3、查找文件 /usr/share/xml.xsd 中包含字符串 re 的所有行。将所有这些行的副本按原始顺序放在文件/root/files 中 4、将整个 /etc 目录下的文件全部打包并用 gzip 压缩成/back/etcback.tar.gz
2023-02-14 00:03:16
43
原创 将二分法查找按照面向对象的思想重写,要求:输入一个整数列表,进行二分法查找
面向过程与面向对象都可以实现模块化编程代买也可以重用,但是面向对象的模块化更深,数据更封闭更安全现象对象的思维方式更加贴近现实生活,更容易解决大型的复杂业务逻辑。从前期开发角度来说,面向对象比面向过程更复杂,但从维护或扩展的角度来说,面向对象远比面向过程简单面向过程的代码执行效率更高。以后面向对象编写代码:首先考虑有什么样的实体去实现什么样的功能然后分装实体的属性及功能。以前面向过程编写代码:首先考虑实现什么功能,然后调用什么函数,最后按部就班的实现需求。重写二分法:利用面向对象的思想。
2023-01-12 16:34:09
74
原创 Python中的列表思维导图及习题
19.已知x=([1],[2]),那么执行语句x[0].append(3)后x的值为______([1、3]、2)__________。5. 假设列表对象aList的值为[3,4,5,6,7,9,11,13,15,17],那么切片aList[3:7]得到的值是(B)18.已知列表x=[1,3,2],那么执行语句x=x.reverse()之后,x的值为_____None_______。8. 已知x=[3,7,5],那么执行语句x=x.sort(reverse=True)之后,x的值为(C)
2023-01-09 15:10:20
303
原创 Python入门
write (string) 绘制一个文本字符串。showturle() 显示当前的位置及方向。penup() 抬起笔。pendown() 放下笔。done()绘制完毕。
2023-01-01 19:58:54
42
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人