02 2022 档案
摘要:0x00 漏洞概述 大约在2月25日吧,还是24号晚上来着,Clash爆出了一个漏洞,XSS引发的命令执行。https://github.com/Fndroid/clash_for_windows_pkg 于是在网上看到的都是一个打开计算器的复现方法,这算哪门子的漏洞利用???不得不承认,大多数安全
阅读全文
摘要:0x00 结构体 基本数据类型——整型。布尔型,字符串等。表示现实生活中的物件有局限性,满足不了我们了,所以我们就要找新的东西来帮助我们。 编程使用代码解决现实世界的问题,我就想在代码中表示一个人,怎么表示呢? 结构体,是一种数据类型,一种我们自己造的可以保存多个维度数据的类型。只要涉及到保存多个维
阅读全文
摘要:0x00 结构体的匿名字段(了解) 这个玩意儿用的比较少,而且缺陷很大,不建议使用,能看得懂即可。 先来看一个正常的结构体: type person struct { name string age int } func main() { p1 := person{ "LiMing", 20, }
阅读全文
摘要:不少学GO的小伙伴们,都输在了这里。加油,相信自己可以成功! 0x00 Golang语言面向对象编程说明 1、Golang也支持面向对象编程(OOP),但是和传统的面向对象编程有区别,并不是纯粹的面向对象语言,所以我们应该说**Golang支持面向对象编程特性** 2、Golang没有类Class,
阅读全文
摘要:0x00 作用域内存分析 在函数中,变量查找顺序: 1、先在自己函数内部查找,找到后最后的结果就是内部的值 2、内部找不到,就在函数外层寻找,即查找全局变量 3、还找不到就报错:未定义 var x int = 100 //定义一个全局变量 func f1() { fmt.Println(x) } f
阅读全文
摘要:defer 0x00 defer概述 定义 defer,顾名思义,延迟的意思。 将defer后面的语句延迟执行,那么延迟到啥时候?等到函数即将返回结束的时候执行。 逐行分析:先执行代码,遇到了defer,先将哈哈哈这句话找一个地方存起来,执行其他两句。快要结束的时候,突然想起来还有一个defer,于
阅读全文
摘要:Go语言中支持函数、匿名函数和闭包,并且函数在Go语言中属于“一等公民”。 0x00 return关键字 return的作用1:结束当前函数,跳出整个函数。所以连后面的It's over!都没有输出出来。 package main import "fmt" func main() { for i :
阅读全文
摘要:0x00 定义 映射(map),Go语言中内置的一种类型,它将键值对相关联,我们可以通过键key来获取对应的值value。类似其他语言的集合。 map是一种无序的基于key-value的数据结构,Go语言中的map是引用类型,必须初始化才能使用。 键值对:一对匹配的信息 Go语言中 map的定义语法
阅读全文
摘要:任何程序数据载入内存后,在内存都有他们的地址,这就是指针。而为了保存一个数据在内存中的地址,我们就需要指针变量。 Go语言中的**指针不能进行偏移和运算,因此Go语言中的指针操作非常简单**,我们只需要记住两个符号:&(取地址)和*(根据地址取值)。 C语言为什么运行快?就是涉及到了指针的偏移和运算
阅读全文
摘要:思考 先思考一个问题:如何给切片添加元素?下面这串代码行不行?是错误的,不能直接用s1[3]来添加元素,否则会造成索引越界。 package main import "fmt" func main() { /*append:给切片添加元素*/ s1 := []string{"beijing", "s
阅读全文
摘要:切片(slice)是golang中一种特有的数据类型 切片的引入 因为数组的长度是固定的并且数组长度属于类型的一部分,所以数组有很多的局限性,在Go语言的代码里并不是特别常见。相对的切片却是随处可见的,切片是一种建立在数组类型之上的抽象,它构建在数组之上并且提供更强大的能力和便捷。 例如: func
阅读全文
摘要:0x00 数组概述 数组是**同一种数据类型元素的集合**。 在Go语言中,数组从声明时就确定,使用时可以修改数组成员,但是数组大小不可变化。 数组里面的数值**必须是同种类型的**,不能是一个整型一个字符型。基本语法: // 定义一个长度为3元素类型为int的数组a var a [3]int 0x
阅读全文
摘要:0x00 概述 运算符用于在程序运行时执行数学或逻辑运算。 Go 语言内置的运算符有: 算术运算符 关系运算符 逻辑运算符 位运算符 赋值运算符 0x01 算术运算符 运算符 描述 + 相加 - 相减 * 相乘 / 相除 % 求余 注意: ++(自增)和--(自减)在Go语言中是单独的语句,并不是运
阅读全文
摘要:流程控制是每种编程语言控制逻辑走向和执行次序的重要部分,流程控制可以说是一门语言的“经脉”。 Go语言中最常用的流程控制有if和for,而switch和goto主要是为了简化代码、降低重复代码而生的结构,属于扩展类的流程控制。 0x00 if else(分支结构) if条件判断基本写法 Go语言中i
阅读全文
摘要:简述 Go语言中的字符串以原生数据类型出现,使用字符串就像使用其他原生数据类型(int、bool、float32、float64 等)一样。 Go 语言里的字符串的内部实现使用UTF-8编码。 字符串的值为双引号(")中的内容,可以在Go语言的源码中直接添加非ASCII码字符,例如: s1 := "
阅读全文
摘要:其实我之前犯过一个很大的毛病,无论是学习C语言还是Java语言的时候。就是十分地无视数据类型,觉着数据类型这种东西差不多看懂了就行了,但是这肯定是不行的,必须好好学,好好总结,不然之后的各种类型转换,网络编程,根本就无从下手,还要回头翻看笔记。 Go语言中有丰富的数据类型,除了基本的整型、浮点型、布
阅读全文
摘要:变量和常量是编程中必不可少的部分,也是很好理解的一部分。 0x01 变量概述 程序里面为什么要有变量?人为什么要有名字?为了方便。 内存地址4GB,0~2的32次方,根本记不住内存地址 变量的来历 程序运行过程中的数据都是保存在内存中,我们想要在代码中操作某个数据时就需要去内存上找到这个变量,但是如
阅读全文
摘要:关于API含义有很多,这里就是用户的帮助手册之意 0x00 目录文档 0x01 API(应用程序接口) 基本每种语言都有API,实际上就是个产品说明书。Java、C、Go、php都有自己的API Go语言提供了大量的标准库,因此Google公司也为这些标准库提供了相应的API文档,用于告诉开发者如何
阅读全文
摘要:文章发晚了,现在发一下 再次说一下,自己是做渗透的,学习docker的目的是我不希望自己看不懂这些docker命令,看不懂这些docker的配置。 更何况最近涉及到了一些新的概念,即docker逃逸。简单来说就是打进去后发现是一个docker机器shell,怎么才能获得宿主机的shell? 所以我必
阅读全文
摘要:关于免杀,工具繁多,这里随便推荐一款曾经我特别喜欢用的。Phanom_evasion,只能绕过火绒,不能绕过Windows Defender 免杀木马生成工具 Phantom-Evasion is an antivirus evasion tool written in python (both c
阅读全文
摘要:CVE-2012-0002 Windows远程桌面协议RDP远程代码执行漏洞——MS12_020死亡蓝屏 如果你问我,学习MSF最好的案例是什么,我肯定不假思索说出两个,MS12_020,MS17_010,这两个漏洞在如今的MSF6中,已经十分成熟化,攻击效果显著,能够极大提升初学者的成就感。 漏洞
阅读全文
摘要:0x00 永远的Hello world! package main import "fmt" func main(){ //main表示入口 fmt.Println("HelloWorld!") } 当我们编写上方的代码时,Vscode一直会弹窗提示什么错误。 这是在说我们没有安装关于自动补全等辅助
阅读全文
摘要:0x00 安装与环境变量 如果下面这些看不懂,不用着急,等学到包概念就明白了 1、安装Go语言 下载地址,下载msi后一直下一步就行了。或者下载zip文件包,然后解压到自己新建的一个文件夹中,只不过需要配置环境变量。 Go官网下载地址:https://golang.org/dl/ Go官方镜像站(推
阅读全文
摘要:先上传几篇不用怎么整理的文章,其他文章先留着 为什么要学习Golang,因为渗透测试中很多工具,都是使用Go语言开发,例如docker,fcan等等,支持多并发 打算在这一年中,熟练掌握Go语言以及Python语言,来写出自己的武器库。课程我看的是B站的“2022老男孩带你21周搞定Go语言”李文周
阅读全文
摘要:0x00 漏洞介绍 WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。而WordPress的文件管理器插件(wp-file-manager)6.9版本之前存在安全漏洞,该漏洞允许远程攻击者上传和执行任意PHP代码。 0x01 漏洞环境 攻
阅读全文
摘要:0x00 前言 公司放假两天,突然一天下午,群里面实验室的大哥发了个通告,就是这个臭名昭著刚爆出来的漏洞。通杀目前市场上大多数Linux操作系统。随后我看到各种微信公众号纷纷发表文章,POC已经出现了很长时间了,在野利用肯定不少。 下面是官方通告: https://ubuntu.com/securi
阅读全文
摘要:0x00 你真的会用火狐么? 火狐浏览器,是一个免费开源的浏览器。平时作为渗透测试必不可少的浏览器。用了大概6个月时间,需要总结一下技巧。可能会有人问了,火狐浏览器还需要总结??会用不得了? 耐心看完,工欲善其事必先利其器。 0x01 下载安装与创建用户 下载安装 火狐浏览器,我们其实可以看到很多“
阅读全文
摘要:之前忘了上传这一篇笔记,补一下 0x00 前言总体步骤 以前我们创建一个微服务,是需要很多的软件进行配置安装的,即下图这样子。安了这个安那个,十分的复杂麻烦。 但是现在不一样了,当我们学会了docker之后,我们安装软件的方法,就是docker run 大体步骤其实就是几个词:搜索、拉取、查看、启动
阅读全文
摘要:CAdvisor+InfluxDB+Granfana简称CIG 0x00 背景问题 1、通过docker stats命令可以很方便地看到当前宿主机上所有容器的CPU,内存以及网络流量等数据,一般小公司够用了。但是,docker stats统计结果只能是当前宿主机的全部容器,数据资料是实时的,没有地方
阅读全文
摘要:0x00 简介 是什么? Portainer是一款轻量级的应用,它提供了图形化界面,用于方便地管理Docker环境,包括单机环境和集群环境。就是docker的图形化工具。 能干嘛? 当我们的docker容器过于多,我们需要对正在运行的docker容器进行数据统计,例如流量,哪些容器空闲,哪些容器紧张
阅读全文
摘要:这些操作都是我在学习docker之前的操作,现在看来确实有些幼稚了。复习一遍看看,会有不同的理解 一、安装前说明 以下操作都是在root用户执行,如果出现containerd.io版本过低或者podman-manpages冲突问题请参照最下方解决方案进行。 二、安装过程 1. 卸载老版本 yum r
阅读全文
摘要:0x00 简介 1、是什么? Docker-compose是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 只要是集群了,少说都是7,8个。Compose是Docker公司推出的一个工具软件,可以管理多个Docker容器组成一个应用。你需要定义一个YAML格式的配置文件doc
阅读全文
浙公网安备 33010602011771号