- 博客(17)
- 资源 (8)
- 收藏
- 关注
原创 从Ajax聊一聊Jsonp hijacking
前言偶然看到freebuf去年的一篇文章,JSONP注入解析 ,看完整篇文章并没有太理解其提到的JSONP,仔细查阅了相关资料,在这里将所得与大家分享~从Ajax谈起先提两个众所周知的概念:Ajax,Asynchronous JavaScript and XML,意思就是用JavaScript执行异步网络请求。Web的运作原理:一次HTTP请求对应一个页面。那么问题来...
2018-01-31 16:41:50 7035
原创 CTF到渗透测试【浅谈渗透测试之信息收集】
前言 从一个ctf选手到一个渗透测试工程师,第一步需要改变的就是学习信息收集。渗透测试不是比赛,不会有提示,不会有查看源代码内藏提示等等,甚至你不可以使用扫描器(比如ctf中常见的AWVS),sqlmap等等。 工作中,一般进行的都是黑盒测试,你得考虑到厂商虽然授权允许你进行测试,但是你不可以使用dos,社工(一般这样就算getshell厂商也不认),不可以对厂商正常的运营造成破
2018-01-27 13:48:08 10021
原创 Cyberspace_Security_Learning
Cyberspace_Security_Learning在学习CTF、网络安全路上整合自己博客和一些资料,持续更新~ 同步更新于我的github:https://github.com/q1271964185/Cyberspace_Security_Learning 此github由东华大学r00t战队共同维护!...
2018-01-27 12:36:27 3222 2
原创 命令速查【sqlmap,nmap,sublist3r,subDomainsBrute,wydomain,ncat,patator】
sqlmap-d //直接连接数据库-u URL, --url=URL //跟目标的url-l //从Burp或者代理软件的日志文件中解析目标-m //从文件中扫描多个目标 ...
2018-01-21 10:11:05 1029
原创 数据库out_of_band攻击【原理分析、复现】
这个问题已经是去年提出的了,之前也看到过,在CTF题目环境中利用过却对原理不慎了解,在公司大佬们的帮助下成功了理解了一波原理。这里对原理进行一波总结,并利用了CEYE平台成功的进行了原理复现利用。 博客原文地址:http://blog.csdn.net/wy_97/article/details/79094001原理分析这个虽然是利用到了比如说mysql的LOAD_FILE函数,其实...
2018-01-18 11:26:45 9793
原创 PHP代码安全【PHP弱口令、加密函数、绕过函数】/CTF代码审计题
注:结合现在所学,把以前的一些很散的博客给汇总起来方便利用【删了黑历史,哈哈哈】1、判等类型1.1、”==”与”===”比较漏洞/switch如果你认为“==”和"==="最大的区别在于,“==”是判断数值是否相等,“===”则是判断数值和类型是否相等,那就错了,这并没有说到最核心的一个关键点,要知道“==”最可怕的一点是,如果类型不同的进行比较,其会将类型转换成相同的再进行比...
2018-01-17 22:24:03 21024 2
原创 CDN服务及如何获取CDN服务背后的真实IP
CDN原理首先,为了对CDN进行获取真实IP,我们必须清楚CDN的工作原理,这里我们再来简单介绍一下CDN的工作模型。 CDN的全称是Content Delivery Network(内容分发网络),通过在网络各处的加速节点服务器来为网站抵挡恶意流量,把正常流量进行转发。用简单点的话来说,CDN一般有三个作用:跨运营商加速:我们自己的网站常常只属于一个运营商(比如:电信),而加速...
2018-01-16 22:04:34 22206 1
原创 Python3.5抓取代理IP并验证有效性
网上有很多的免费代理IP网站,但不是所有的ip都能用,正好自己正在研究,记录一下如何爬取可用的代理IP。 这里以xici代理IP为例:http://www.xicidaili.com/nn/1 =================================更新=========================== 代理有效性不能看是否访
2018-01-13 23:58:52 21040 6
原创 分析暴力的满天发红包~【方便虽好,安全第一~】
最近看到各种论坛群里满天飞红包段子链接,比如这种: 穿山甲到底说了什么,打开“xxx”查看~ 支付宝被爆巨大漏洞,打开“xxx”查看~ 腾讯会员1毛钱一个月,速速打开“xxx”领取~ 点击链接,自动给你跳转到支付宝红包界面,好吧,又被人撸羊毛了~ 作为一个安全学习者,怎么能不追求热点去学习一波这种神奇的操作是如何进行的呢~ 特地去知乎搜了一波,果然有...
2018-01-07 14:02:53 3970
原创 docker学习笔记5【实战:将ctfweb题环境docker打包供他人使用】
置顶,一个很不错的wiki,点这里 历时三天,玩坏三个虚拟机,云服务器重置一次,终于算是docker入门了,回想起来其实还是linux的一些操作不太熟导致的各种报错,其实还是比较简单的,下面用实战从零来总结一下docker的用法:1、vmvare安装ubuntu16.04虚拟机略,教程很多,镜像推荐去官网下载,被不好的镜像坑过2、更新ubuntu源为国内源略,同上,百度攻略很...
2018-01-05 18:23:32 8618 1
原创 mysql启动报错【No directory, logging in with HOME=/】
报错信息如下: 解决步骤如下: usermod -d /var/lib/mysql/ mysql#第一步ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock#第二步chown -R mysql:mysql /var/lib/mysql#第三步#之后重启mysql即可
2018-01-05 16:22:39 12551 3
原创 docker学习笔记4【启动docker与保存docker】
启动docker 这是我的启动命令sudo docker run -it -d --name ctf -p 8087:80 ctf:newsudo docker pssudo docker exec -it id /bin/bash 详解如下: Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG…]
2018-01-05 10:39:03 2241
原创 docker学习笔记3【 E: Unable to locate package docker镜像无法安装软件】
当你想安装软件的时候,你会出现如下的报错:(测试环境为 pull docker ubuntu:16.04)Reading package lists... DoneBuilding dependency tree Reading state information... DoneE: Unable to locate package apache2你的第一想法是源的文件出
2018-01-04 23:28:02 23095
原创 docker学习笔记2 【更换docker源为国内源】
vi /etc/docker/daemon.json切换到i模式,粘贴下面的代码:{ "registry-mirrors": [ "https://registry.docker-cn.com" ]}:wq退出 之后重启服务$ sudo systemctl daemon-reload$ sudo systemctl restart
2018-01-04 23:21:38 3032
原创 docker学习笔记1 docker的安装【ubuntu16.04虚拟机】
1、更新系统软件$ sudo apt-get update2、安装依赖包$ sudo apt-get install $ sudo apt-get install apt-transport-https$ sudo apt-get install ca-certificates$ sudo apt-get install curl$ sudo apt-get insta
2018-01-04 23:14:56 2515 2
原创 python保存CSDN网页到本地二 /打开关闭浏览器
这个地方需要使用到的就是python的selenium库,这里有一个博客对于安装讲解的很棒,点这里 注意:如果是之前pycharm已经打开的,切记重新打开一次,否则还是会一直报错(环境变量未更新)实现Ctrl+S自动化保存页面思路分析 1、打开火狐浏览器 2、直接键盘Ctrl+S 3、鼠标点击地址栏,输入保存地址 4、点击保存 难点在于精准定位按钮的位置实现
2018-01-01 22:34:33 5523 1
原创 python保存CSDN网页到本地一 /PyUserInput,pywin32,pyhook
因为线下赛的需要,想将自己的一些博客给保存到本地,无疑Ctrl+S是最为简单的操作,查阅了相关资料,PyUserInput可以实现此功能~但是很烦的地方在安装时出现了很多问题,给的解释,大多是因为py3.5的版本是X64导致的~ 查询了很多资料,终于找到了解决办法~0X01、安装相关库(注意:我的是X64)pyHook安装 链接:https://www.lfd.uci.edu/~gohl
2018-01-01 19:39:40 5212
一本书读懂TCP_IP.pdf 高清中文版 带目录
2019-01-15
渗透测试神器BurpSuite pro v2.0.11beta & keygen & 汉化
2019-01-15
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人