- 博客(63)
- 收藏
- 关注
RSS订阅原创 弱口令与暴力破解案例与类型分享
本篇是紧接着上一篇文章因为篇幅过长而剩余的未分享案例与分类,本篇通过案例与碰到的漏洞类型来对我这两个月其中碰到的弱口令与爆力破解漏洞做一个总结,帮助小白快速了解这两种漏洞会遇到的实战情景,当然总结仅是我个人目前碰到的,如果不全,也请给位佬给我留言,方便我进行完善.免责声明以下漏洞案例均已经上报漏洞平台并且进行修复。请勿利用文章内的相关技术从事非法测试,若因此产生一切后果与本博客及本人无关。弱口令是指容易被猜测或破解的密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。
2024-04-24 00:13:17
699
原创 2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
2024-04-22 23:56:52
859
原创 弱口令之暴力破解
本来想在打靶场的同时结合实战案例放在一起进行分享,结果发现篇幅太长,也不利于看,就放在下一篇中结合着一起来看,当然我也会在下面的靶场中,写出具体的一些实战遇到的解释,为什么要着重来写这个,能用弱口令进入的页面是获得权限以及获取其他漏洞的最好方式了,实在没办法的话,采取其他战术.弱口令是指容易被猜测或破解的密码,而爆破破解是一种通过穷举法尝试所有可能的密码组合以破解密码的方法。弱口令通常指的是那些强度不高、容易被人猜到或者被破解工具所破解的密码。
2024-04-22 19:37:59
652
1
原创 开发实战(6)--对fofa收集的漏洞资产使用poc进行批量验证
对收集的漏洞信息进行批量监测的一个通用脚本,本质是可以做一个通用的漏洞批量监测的通用模板,可惜的是没有成功获得可以进行测试的weblogic的资产,但是还是发现狮子鱼确实漏洞资产很多可以进行验证.t=N7T8t=N7T8安全开发实战http://t.csdnimg.cn/Ba4Ru。
2024-04-21 23:56:53
952
原创 开发实战(5)--fofa进行漏洞poc的信息收集
突破fafa信息采集时只能查看5页数据, 主要还是围绕渗透测试的流程进行开发,一般在信息收集后,在渗透测试后,在发现通用型漏洞时,我们为了节省时间,可以通过写批量脚本来信息收集,然后使用poc来进行批量验证.作为一个fofa工程师,那么我们当然是使用fofa进行信息搜集喽,刚好也借着这个机会熟悉一下fofa的API文档,为后面写利用工具做好铺垫,当然目前还是用不到API的,问就是用不起,所以只能写脚本突破注册会员限制进行信息爬取。
2024-04-21 16:30:41
1617
原创 Py爬虫之 js逆向实战:某案例
在渗透学习的过程中,我们在测试未收权访问中,包括我们进行fuzz,都是需要获取js文件中的接口,然后进行进一步利用的,当然说这么多的根本原因是,越来越发现网络安全是一个全栈的学习路线,需要学习各种各样的知识,来提高自己的挖掘和利用能力,于是有了今天的这篇文章.
2024-04-19 08:51:26
1066
原创 安全开发实战(4)--whois与子域名爆破
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
2024-04-18 20:49:59
908
1
原创 安全开发实战(3)--存活探测与端口扫描
本篇主要是对上一篇,通过域名反差ip后,我们需要通过对主机进行存活监测以及存活的端口进行探测.本篇主要是对上一篇反查ip后,对整个ip段或是反查的ip进行存活的端口监测,确定目标主机开放的端口以及对应的服务,通过两种不同的方式进行编写,两种方式各有各的好处吧.t=N7T8t=N7T8安全开发实战http://t.csdnimg.cn/25N7H。
2024-04-18 13:39:45
878
2
原创 安全开发实战(2)---域名反查IP
安全开发实战(2)---域名反查IP 域名与 IP 地址之间的关系是通过 DNS(Domain Name System,域名系统)建立的。DNS 是一个将域名映射到 IP 地址的分布式数据库系统。域名是人们容易记忆的字符串,而 IP 地址则是计算机网络中唯一标识主机的数字标识。通过将域名与 IP 地址进行映射,DNS 允许用户通过输入易记的域名来访问网络资源,而无需记住复杂的 IP 地址。
2024-04-18 13:09:47
1257
原创 某小学AK,SK泄露导致横向到云主机控制台
某小学AK,SK泄露导致横向到云主机控制台分享免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。分享声明此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享。
2024-04-16 13:05:00
746
原创 安全开发实战(1)--Cdn
渗透学习过程中,不仅需要学习实战技巧,更要懂得开发实战工具,来辅助自己学习和进行进一步渗透利用,这里是围绕整个渗透测试的流程来进行开发,整体适合小白,当然我现在也在学习阶段,还是会出现很多开发过程中的问题,需要进行进一步解决.
2024-04-16 10:52:11
1021
原创 免杀开发基础(1)
免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。分享声明此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享不知名普通本科院校软件工程入坑网络安全刚入坑教育SRC不到两个月获得过两张985,211的漏报送证书,和一张教育部的证书一张CNVD原创事件型漏洞证书我的技术与生活——小站首页 | Hexo (xiaoyunxi.wiki)
2024-04-12 19:23:45
817
原创 如何从小程序到教务系统
如何从小程序到教务系统----漏洞思路分享 免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。分享声明此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享 本人不知名普通本科院校软件工程入坑网络安全刚入坑教育SRC不到两个月获得过两张985,211的漏报送证书,和一张教育部的证书一张CNVD原创事件型漏洞证书。
2024-04-10 18:50:05
609
原创 小白如何挖到自己的第一个漏洞
弱口令漏洞是由于使用简单或容易猜测的密码而引起的安全缺陷,它使得攻击者能够通过轻易暴力破解密码,进行登录后台或者用户从而获得未授权访问权限,可能导致数据泄露和接管后台系统等其他安全事件,简单来说,拿到对应权限的账号,从而能够进行操作和使用的权限越大,其实对于弱口令挖掘来说,最基础的就是尝试弱口令,当然如果要进行进一步测试的话,爆破密码只是很简单的一只种,还可以通过在各种例如抖音,小红书,甚至QQ群,公众号等进行身份证,学号等信息搜集,当然如果在允许情况下,也可以进行社工获得一些账号密码,尝试进行进一步测试
2024-04-08 13:12:46
631
原创 记第一次eudsrc拿到RCE(下)
免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。仅接上一篇文章,本来都准备结束了,结果搜索文库,发现文库中还有这个系统没有进行测试的漏洞,既然RCE都有,那其他的会不会有呢,抱着试试的心态进行尝试,成功拿到第二个RCE.不知名普通本科院校软件工程入坑网络安全刚入坑教育SRC不到两个月获得过两张985,211的漏报送证书,和一张教育部的证书一张CNVD原创事件型漏洞证书我的技术与生活——小站首页 | Hexo。
2024-04-06 23:00:57
749
原创 记第一次eudsrc拿到RCE(上)
免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。本来想大学四年都不会有可能拿到一次大佬长谈的RCE,没想到,居然在学了一天liunx上部署和学习Javaweb后,休息时一波信息收集拿到了,美滋滋,The harder you work, the luckier you get.
2024-04-06 14:42:02
803
原创 最新版Kali虚拟机安装和汉化中文教程(适合新手)
Kali虚拟机是一款基于Debian的Linux发行版虚拟机操作系统,专为安全渗透测试和数字取证而设计。该虚拟机预装了许多渗透测试软件,包括Metasploit、BurpSuite、sqlmap、nmap以及Cobalt Strike等,这些工具都是为了进行网络安全测试攻击而专门设计的。Kali虚拟机的好处在于,它内置了大量的安全渗透方面的软件,新手可以免于配置,开箱即用。总体来说是对自己在学习过程中,自己独立解决问题和解决本次的最新kali工具的配置使用,虽然自己也是很久没用过了
2024-03-10 23:22:26
1105
1
原创 CTFHuB命令执行--Rce
Command Injection,即命令注入攻击,是指由于嵌入式应用程序或者 web应用程序对用户提交的数据过滤不严格,导致黑客可以通过构造特殊命令字符串的方式,将数据提交至应用程序中,并利用该方式执行外部程序或系统命令实施攻击,非法获取数据或者网络资源等。其实关于这个练习已经过去了很久了,但我还是要那出来进行一次复习吧,对与命令执行相关的一些操作,对自己在漏洞挖掘方面能有更多的帮助,通过这次练习也对自己关于代码审计或是关于linux命令的常见命令的同意替换有了更多的了解。
2024-03-09 15:49:31
844
原创 hfish蜜罐搭建与使用
本次是对自己在学习蓝队过程中的一次对安全设备hfish蜜罐的搭建和使用考核记录,距离之前已 经过去很久了,对之前在考核过程中的操作进行回顾和总结. 通过此次对于蜜罐的实验搭建与任务操作,使得自己对于蜜罐的操作和使用流程有了进一步了解,熟悉对于此蜜罐的操作,并为自己在安全设备方面填补了一定的空缺,也算提供了一个可以攻击的靶场,方便我可以对很多漏洞进行复现,做到攻防兼备,当然这些都是我两个月前的总结了.。
2024-03-08 01:57:40
967
原创 记一次应急靶场实战--web1
前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,没打广告,大学生不骗大学生,下面是挑战地址,这是一个应急响应靶场的练习
2024-03-07 00:26:04
1165
原创 ARP欺骗攻击实操
本篇是在学习第一阶段理论知识的最后一节课的实战操作,其中讲到了两种欺骗操作,这是其一,另一种是DNS欺骗操作,看自己有时间进行操作了本篇文章是对学习ARP欺骗实例的一次实际操作,对于学习实战挖洞前的最后一次实战操作,去熟悉渗透测试进行的一次操作吧,对于自己来说也算是一种突破.每日一言悄悄地想你,波澜不惊。
2023-09-30 14:31:44
542
2
原创 网安之PHP基础作业(5)
本博文,主要是对自己在学校PHP基础第5节课后,对作业题目的题解,学习和使用php其实这对于后续漏洞挖掘与发现利用很大的帮助,现在在很多网站都还在使用php在做网站搭建的一部分.所以学习和利用还是很有用必要的.在进行题目练习的过程中,发现自己对于学习过的html知识点,开始出现了遗忘,然后进行自己查询资料,并一点一点进行题目的完成,自己也有很多的收获,在做完后,给了自己很多的继续学习下去的动力,发现php是一门很有趣的编程语言.每日一言当你真正想做成一件事情的时候,就连天地万物都会帮你。
2023-09-17 14:30:20
612
2
原创 网安之python基础作业(2-3)
最近也是比较忙了,要学习很多知识,做的作业,相对来说,解释方面就比较潦草一点了.不过思考题目,确实是一道比较有意思的题目编写一个函数,要求随机从获取一张扑克牌,除大小王以外其余A-K都具有四种不同的花色,花色共有【♠ ♥ ♣ ♦】四种本章是对自己学习python的一次复习吧,通过作业的练习我收获了很多,.在练习其中我忽略了传入参数的类型,以及在使用时,对于函数的数组传入知识点的遗忘,有方法和敲出来其实有很大的差别
2023-09-17 12:15:36
284
原创 网安之python基础学习作业(1)
本博文是对第一节课程学习的总结以及对作业的练习.自己学过python就不对下面的代码进行解释了.本博文是对自己学习过的python基础的一次回顾吧,在我们向前走路途中,不要忘记回头去看看,基础知识,对于我们来说也是一种,对之前学习知识的一种提升,也许再看一次,就会发现有新的理解也有可能.
2023-09-13 20:21:31
353
3
原创 MySQL最新版8.1.0安装配置教程
本章是对最新版8.1.0的MySQL数据库的安装教程,不仅仅是自己为自己学习SQL注入,还是在学校学习数据库的同时进行练手来说,都是必须要做的一件事情,下面就是详细的安装教程本文章,是对自己在安装最新版MySQL数据库的一个详细过程吧,中间也有很多不清楚的地方,但是经过自己的多次对,工具环境以及软件环境的配置,现在对于这个的安装也算得心应手吧,不仅仅是一种总结,更是对自己经验的一种积累.
2023-09-13 17:58:00
7473
38
原创 Sqli-labs靶场搭建(适合新手小白围观)
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
2023-09-12 23:44:59
4976
3
原创 封神台----为了女神小芳
Sqlmap我想大部分都很熟悉,但我也就只是听过并没有使用过这个工具,这里简单介绍一下,帮不太熟悉的朋友简单了解一下。众所周知,top10名列前茅的漏洞就是注入漏洞.任何一个学习web渗透测试的朋友都需要了解的一个内容,注入分为手工注入和自动工具注入,而Sqlmap就是自动工具中最好用的工具。那么直接进入主题。本章是自己之前学习过SQL注入,但是没有使用过Sqlmap这个工具,在找到了一篇Sqlmap入门篇报告后,虽然对于SQL注入这方面的知识早已忘记,但基本原理还是清楚的,所以破不及待的来实现
2023-09-12 01:14:32
288
15
原创 生成克隆钓鱼网站与对win7进行后渗透操作
本篇文章是对自己使用CS部署钓鱼网站和通过生成木马对win7进行后渗透操作的一次实战,通过实战来去熟悉一些渗透测试过程中会遇到的一些操作,为自己以后的学习打好基础,也能去了解更多其他方面的一些知识.本文章是继上次进行手机木马远控复现后,进行钓鱼网站的搭建和使用木马文件后渗透的实操,在进行实战过程中遇到过,无法打开CS工具,也遇到过生成的木马文件在root文件夹中无法取出,说到达自己还是实战经验不足,但自己总能在遇到问题后冷静分析,并自己主动去解决问题,我很庆幸自己有这个能力,自己喜欢去依赖他人去解决问题,虽
2023-09-10 15:39:01
964
14
原创 手机木马远程控制复现
本文章主要是进行一次测试吧,自己之前也没有进行过测试关于apk木马远控,最近事情也比较多,自己也就做一个简单的测试吧,后期会尝试使用自己的手机做一个真机测试。
2023-09-10 01:13:45
2888
12
原创 VMware的三种连接模式
在学习网安的过程中,我们需要通过实战来模拟来练习我们的技术能力,而我们私人进行测试容易吃牢饭,不仅如此我们在学习过程中会使用到很多的操作系统,我们也不可能去买多台电脑来去使用,不太现实,我们为了避免这种情况,我们需要通过虚拟机来安装不同的系统来使用. 本篇文章是对于虚拟机的三种链接方法进行详细的介绍
2023-09-09 17:36:44
514
原创 渗透测试基础之永恒之蓝漏洞复现
渗透测试(Penetration Testing)是指专业的安全测试人员模拟黑客攻击的行为,对目标系统进行主动攻击测试的过程。通过模拟攻击,渗透测试帮助企业评估其系统或网络的安全性,发现潜在的安全漏洞和弱点,从而提供相应的防护措施和改进建议。渗透测试的目的是帮助组织发现和修复系统中的安全漏洞,以提升安全性和防御能力。每日一言。
2023-09-08 20:25:23
1059
3
原创 IJ中PHP环境的搭建和使用教程
本章是在学习网络安全过程中,我们需要对两门编程语言有所了解,今天要进行的就是其中的一门,本篇文章是对,我自己在进行PHP学习中的搭建环境和进行编写的.这里我们可以自己下载想要的版本,因为这是一个集成的平台然后我们点击下一步即可到这里我们的安装就好了,接下来我们进行IJ中的php环境配置。
2023-09-07 23:49:11
1128
原创 JavaScript编程语法作业
本篇文章是对于javaScript中if ,switch,while ,do-while,,for语法的作业练习.对于我来说也是对自己知识掌握的一种检验.
2023-09-07 12:59:04
152
原创 Python进阶语法之推导式
本章是对自己学完基础语法后,学习python进阶语法推导式过程中,自己的一些理解和看法,因为自己从刚开始第一次看看不懂,到学习一段时间后,通过积累再次看这里的知识点发现自己有了新的理解,这次将这部分知识学完了,剩下就是通过练习来达到熟练了.本章的推导式,包含列表推导式,字典推导式,集合与元组推导式这四种.
2023-09-04 00:17:15
126
原创 JavaScript基础入门之输出
本文章是对小白学习js的初级教程,也是我对自己学习经验的一种总结,文章大多采用使用案例加讲解,带动学习的方式.因为我们的天性总是喜欢有及时反馈的事物,但是学习是一个慢长的事情,而有结果的回应,才会更好的促进自己去学习.
2023-09-03 00:54:40
58
原创 外星人入侵之武装飞船(3)
经过几个月的学习,自己也有了一些学习python的经验,想通过几个稍微大一点的项目的来对自己的开发能力进行训练和评估,从今天继续进行学习和练习Python编程从入门到实践这本书里面的项目。 本项目中,自己会对项目中使用的一些方法和构造进行解读,自己学会就是自己的东西。
2023-09-02 19:27:26
105
原创 windows 下 win11 JDK17安装与环境变量的配置(配置简单详细,包含IJ中java文件如何使用命令运行)
本章是对win11中JDK17配置的教程,也是考验自己学习java前对于环境安装的一次锻炼,本文章采用傻瓜式安装和使用,并且对于自己在txt文本中运行,java代码与使用命令直接运行IJ中创建的java代码的一些经验和心得.
2023-09-02 13:55:50
2111
4
原创 JavaScript初学
JavaScript 是一种高级、动态、弱类型的编程语言,广泛用于前端开发。它为网页增加了交互性和动态功能,可以通过在网页中嵌入 JavaScript 代码来控制 HTML 元素、响应用户操作、操作浏览器对象等。JavaScript 被所有现代浏览器支持,它也可以用于服务器端开发(Node.js)。JavaScript 语法简单而灵活,可以实现各种功能,从简单的表单验证到复杂的应用程序。它还有各种库和框架,如React、Vue和Angular,进一步扩展了它的功能和用途。总体而言,
2023-09-01 13:09:48
73
原创 外星人入侵之武装飞船(2)
经过几个月的学习,自己也有了一些学习python的经验,想通过几个稍微大一点的项目的来对自己的开发能力进行训练和评估,从今天继续进行学习和练习Python编程从入门到实践这本书里面的项目。本项目中,自己会对项目中使用的一些方法和构造进行解读,自己学会就是自己的东西。每日一言不管全世界所有人怎么说,我都认为自己的感受才是最正确的,无论别人怎么看,我绝不打乱自己的节奏,喜欢的事自然可以坚持,不喜欢的怎么也长久不了。
2023-08-29 00:44:24
120
2
原创 Java基础语法之基本语法格式
本章,是对java基础的复习笔记,方便我对java学习中的一些重要的知识点的总结与学习。每一种编程语言都有一套自己的语法规范,Java 语言也不例外,同样需要遵从一定的语法规范,如代码的书写、标识符的定义、关键字的应用等。因此要学好 Java 语言,首先需要熟悉它的基本语法。本章是对java的基础语法格式进行复习总结。Java 中的代码需要放在类中执行,一个 Java 文件通常只有一个public 类。类的定义包括类名和类的主体部分,主体部分用一对大括号括起来。// 类的主体部分Java 中的方法。
2023-08-27 23:40:33
213
七夕音乐贺卡,适用与各种节日,python和前端html与css
2023-08-22
3分钟了解计算机发展历史包含计算机的相关硬件内容介绍
2023-08-18
Python实战项目2-图片处理
2023-08-18
从Python到exe让你的程序一键“变身”,包含百度翻译,随机壁纸,随机一言小工具
2023-08-13
带你飞上云端,轻松解析数据-gopup库的轮子修改版,仅供参考
2023-08-04
关于软件测试工程师,数据挖掘工程师,和计算机与科学工程师简历模板
2023-08-03
python爬虫调用api整理归纳的轮子
2023-08-03
HTML 网页设计 航天知识站
2023-07-13
C语言 课程设计 学生选课系统
2023-07-13
matlab 数建建模B题的研读
2023-07-13
Python实战项目2-图片处理
2023-07-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人