06 2019 档案
摘要:命令执行漏洞(Command Injection) 前言: 其实说起来,攻击方式跟SQL注入有点相似,简单来说,就是通过漏洞,可以执行一些本来不应该执行的指令!需要对CMD指令比较熟悉,这方面我还需要加强。 &,&&,|,||命令拼接符的区别: A&B:AB之间无制约关系; A&&B:A执行成功之后
阅读全文
摘要:CSRF跨站请求伪造(Cross Site Request Forgery) 前言: CSRF是利用用户的cookie,冒名做一些对用户有伤害的事情,CSRF最关键的是利用受害者的cookie向服务器发送伪造请求 low: 1.观察: 输入新密码,旧密码,change。提示密码修改成功,用hackb
阅读全文
摘要:XSS DOM跨站攻击(DOM Based Cross Site Scripting) 前言: DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于D
阅读全文
摘要:XSS存储型跨站攻击(Stored Cross Site Scripting) 前言: 相较于XSS反射型跨站攻击,存储型具有更严重的危害,如果在窃取信息的同时对网页没有任何变化,那受害者将很难发现。 如果我有写的不太明白的地方,可以先看看之前XSS反射型跨站攻击的随笔 low: 1.观察: 测试输
阅读全文
摘要:XXS反射型跨站攻击(Reflected Cross Site Scripting) 概要: 跨站攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。由于HTML语言允许使用脚本进行简单交互,入侵者便通过
阅读全文
摘要:DVWA使用Burp suite暴力破解的时候老是Proxy不到,可能是火狐设置的问题。所以我直接拿一个相亲网站进行的测试,没有恶意,单纯是进行学习实践,破解完之后被老师提醒XD: 未经授权的渗透测试是违法的!谨记。 进入正题,接下来是破解过程,算是提供思路,为了信息安全不上截图了,但是我这么个刚开
阅读全文
摘要:关于burpsuite的安装破解,这篇文章讲的非常好,还有关于burp suite的章节式教程,我就只能算是班门弄斧了,下面进入正题。 第一步,准备工作 要想burpsuite能抓包,需要设置Firefox网络代理, 【工具】 -> 【选项】 -> 找到最后的网络设置【设置】-> 选择【手动代理配置
阅读全文
摘要:本篇文章是补SQL注入篇里的medium难度用到的hackbar post hackbar简单使用 建议配合DVWA的SQL注入功能使用,能快速入门 1.安装: 参见这篇文章【hackbar安装 & 破解】 2.界面: 按常用的F12键打开web调试那个栏,可以看见最右边多了一个hackbar,点进
阅读全文
摘要:1. 在JAVA官网下载并安装 2. 修改环境变量: 3. 测试: 打开cmd控制台,或者powershell; 输入java -version, java, javac测试,都能正常运行,ok配置成功。 打开jar文件在控制台输入,java -jar path即可path为相对路径即可
阅读全文
摘要:简析 在此之前,已经学习了SQL注入,盲注是注入的进一步方法,更接近实战。而且因为“盲”字,注入也变得异常繁琐。本篇将先对DVWA的四个等级的盲注进行学习分析;然后是对盲注方法的学习心得。 在第一篇,我提到过: 习惯上输入1,可以看到返回对应1的数据库中的内容,而且输出三行,分别是 ID:1 Fir
阅读全文
摘要:前言: hackbar是web渗透时的经典工具,但是当我开始学习网络安全的时候,发现hackbar已经开始收费了。本篇抛砖引玉介绍几个使用方法,针对火狐浏览器的。 一、Max hackbar 虽然hackbar不能免费用了,但是有不少人做了类似的插件,有些跟hackbar几乎一样,完全可以拿来当替代
阅读全文
摘要:在火狐浏览器下F12进入样式,根据右侧栏的css代码,把需要修改的修改了,然后立即就能看见效果。将代码复制到后台设置那里的css样式里就好了。 以下是我用来保存图片网址的工具。。。自己用的,如果紧紧想修改背景,可以复制以下代码到 管理->设置->页面定制css代码 body { background
阅读全文
摘要:原理简析:对于手机的存储来说,删除操作只是把索引删除了,让手机认为这里没有东西可以再往里写了。所以实际信息还留在存储介质中。故,只要信息没被新的内容替换,就有修复的可能! 一、环境&工具篇 PC:Windows10;手机:iOS; iTunes:这个是必需的,从官网下载安装后,把手机备份到电脑里 楼
阅读全文
摘要:Hi~ o(* ̄▽ ̄*)ブ,懒懒,现在你一定收到信啦,这里就是git操作手册,以后那个主页,需要添加日记,你可以按照这个手册一步一步的实现啦。 准备工作,只需要准备一次 添加博客 现在你一定想开始写一篇日记了,跟着我继续下去吧 well,这部分不好说,详情请 call me,我给你慢慢讲,然后基本上
阅读全文
摘要:DVWA 环境搭建和安装简易使用 DVWA的简介 首先,DVWA有多个模块,涉及网络安全的方方面面,其次,代码等级分为Low,Medium,High,Impossible四个等级,在官方介绍中有提到High难度跟ctf接近。 因为研究生阶段即将开始网安的学习,所以好好研究DVWA成了开学前给自己的重
阅读全文
摘要:private 自用 Day1 http://player.polyv.net/videos/348367692b9a5ca3aa919a056e78775d_3.swf http://player.polyv.net/videos/348367692b2a42e73446176beef6e256_
阅读全文
摘要:前言&Android获取方法 最近要捣鼓导出微信所有聊天记录,然后碰到了一个需要微信用户uin的问题。实际上uin是属于一个微信用户的唯一识别,其实在Android用户中可以通过手机查看,在 根目录/data/data/com.tencent.mm/shared_prefs/system_confi
阅读全文
摘要:WebGL发布方式 之前一直都是Unity3D发布Web,然后再发布4399的Unity版本,但是现在的问题是,H5游戏是4399非常支持的,而且兼容手机,这样对于广告流量来说,绝对会有翻倍的提升,所以就捣鼓发布WenGL。 但是出现个问题就是,我清楚记得大三时候发布过web GL版本游戏,但是现在
阅读全文
摘要:我以前是只用bash的,后来有好几年颓废,没有摸代码,没有用git,全忘了。 最近用GitHub Desktop,然后发现回退版本不方便,现在给出bash和桌面配合的强制方法。 一,获得版本信息SHA 1.可以在桌面版本中的history那一栏右键,copy SHA 2.可以在git bash中用
阅读全文
