12 2020 档案
摘要:Cobalt Strike简介 Cobalt Strike简称cs(下文为了方便,都使用简称),是一款常用的内网渗透测试工具。 简单来说,cs继承了端口转发,服务扫描,自动化一处,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏博纳高度生成,木马捆绑;
阅读全文
摘要:sql注入绕过防御 无waf 无waf方式已经在漏洞重温sql注入中有描述,这里就不多做赘述,有兴趣的朋友可以去看看。 有waf 内联注释 简单理解 在进行演示之前,首先了解一下内联注释。内联注释通常用于绕过网站安全狗,也就是俗称的过狗。简单来说,如果waf拦截的特征是两个关键字连接在一起,例如我们
阅读全文
摘要:想了解java中的动态代理,我们首先需要了解的是一种常用的设计模式,代理模式。 代理模式 代理模式是常用的java设计模式,他的特征是代理类与委托类有同样的接口,代理类主要负责为委托类预处理消息、过滤消息、把消息转发给委托类,以及事后处理消息等。代理类与委托类之间通常会存在关联关系,一个代理类的对象
阅读全文
摘要:在说明cookie和session之前,先说明一下什么是状态管理 状态管理:将浏览器与web服务器之间多次交互当做一个整体来看待(即为了完成某个业务,需要多次交互,比如购物),并且将多次交互所涉及的数据(即状态)保存下来。 进行状态管理的方法 客户端:利用cookie技术进行管理 服务端:利用ses
阅读全文
摘要:Filter 简介 Filter也称之为过滤器,是Servlet2.3新增的一个特性,主要用于过滤url请求,通过FIlter我们可以实现URL请求资源权限验证,用户登录检测等功能。 Filter是一个接口,实现一个Filter只需要重写init、doFilter、destroy方法即可,其中过滤逻
阅读全文
摘要:社会工程学 行骗的艺术的分类有两种,一种是通过诈骗、欺骗来获得钱财,这就是普通的骗子,也触犯了法律的底线。另外一种,则是通过蒙蔽、影响、劝导来达到获取信息的目的,这就是社会工程学。 渗透测试的常规思路 针对于漏洞的防御,把一个网站比喻成一个房间,房间的门是贼人最有可能成功进入的方法,所以很多安全厂家
阅读全文
摘要:概念 在b/s架构中,请求和响应都是必须的,在我们跟网页进行交互的时候,我们需要使用request发送请求,当服务器接收到请求后,根据设定代码,返回响应包的内容。 当我们需要在页面上显示一些东西的时候,就需要使用response来打印。 request和response request和respon
阅读全文
摘要:URLConnection 这是一个对网页发起请求的类,类似于之前跟数据库发起请求差不多。 首先建立连接对象,然后设置请求属性,然后将结果返回,并且利用InputStream保存,随后展示在页面上。 代码演示 package urlConnection; import java.io.Buffere
阅读全文
摘要:数据库密码爆破工具的优化 使用scanner从控制台读取字典位置和数据库位置 在控制台输出密码使用起来还是不太方便,将正确的密码通过字节流写入到一个文档中。 密码都写了,不妨吧数据库的地址和账号密码一起写入。 目前爆破仅限于密码,所以后面可以设计循环嵌套将账户密码一起爆破。 爆破目前使用的是单线程,
阅读全文
摘要:写一个数据库密码爆破工具 目前完成: package jsp; import java.io.*; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; public clas
阅读全文
摘要:Servlet Servlet是在java web容器中运行的小程序,通常我们用Servlet来处理一些较为复杂的服务器端的业务逻辑。Servlet是Java EE的核心,也是所有的MVC框架的实现的根本! Servlet的定义 Servlet的定义很简单,我们在项目的src目录下创建一个class
阅读全文
摘要:SPI机制 SPI,全称为Service Provider Interface,是一种服务发现机制。它通过在ClassPath路径下的META-INF/services文件夹查找文件,自动加载文件里所定义的类。 这一机制为很多框架扩展提供了可能,比如在Dubbo、JDBC中使用SPI机制。 Java
阅读全文
摘要:JDBC浅析 connection connection是数据库连接对象,我们针对于数据库的一系列操作都以来connection这个对象完成。 简单来说,我们利用java代码连接数据库的时候,初始需要两个步骤。 注册驱动 获取连接 注册驱动 首先,我们要先了解,java通过java.sql.Driv
阅读全文
摘要:数据库连接池 概念:其实就是一个容器(集合),存放数据库连接的容器。 当系统初始化好后,容器被创建,容器中会申请一些连接对象,当用户来访问数据库时从容器中获取连接对象,用户访问完之后,会将连接对象归还给容器。 好处: 节约资源 用户访问高效 实现: 标准接口:DataSource java.sql包
阅读全文
摘要:JDBC工具类 目的:简化书写 分析: 注册驱动 抽取一个方法获取连接对象 需求:不想传递参数(麻烦),还要保证工具类的通用性。 解决:配置文件 package JDBC工具类; import javax.xml.transform.Result; import java.io.FileReader
阅读全文
摘要:JDBC基本概念 Java数据库连接,也就是使用Java语言操作数据库。 本质: 其实是官方(SUN公司)定义的一套操作所有关系型数据库的规则,即接口。各个数据库厂商去实现这套接口,提供数据库驱动jar包,我们可以使用这套接口(JDBC)变成,整整执行的代码是驱动jar包中的实现类。 JDBC快速入
阅读全文