摘要:
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一共有11种常见SQLmap使用方法:一、SQLMA 阅读全文
摘要:
先用选择工具选择你要进行变动的那部分图像,至于选择的方法有多种而且得看你的图片来决定采取何种选择方法。然后在英文输入状态下按下“CTRL+T”出现变换框,你将鼠标移动对角点上,当鼠标变为一种旋转的图标时,你就可以进行旋转了。 阅读全文
摘要:
使用软件:PS CC版 使用Photoshop 将图片中的一种颜色变成另一种颜色的两种方法: 1、打开图片,Ctrl+J复制一份; 2、执行菜单-选择-色彩范围,使用吸管和吸管+选取图片颜色部分,点确定后形成选区; 3、Ctrl+U键调出色相饱和度窗口,勾选“着色”,拉动色相、饱和度的滑块,调整至合 阅读全文
摘要:
我直接用git pull的时候遇到这个错误: error: Your local changes to the following files would be overwritten by merge: protected/config/main.phpPlease, commit your ch 阅读全文
摘要:
为 GitHub 账号设置 SSH Key 出于安全考虑,Github 服务器和我们本地的通讯要求使用 SSH Key 来验证。在前面『环境部署』的章节中,我们已经在主机中生成过 SSH Key,并且 Homestead 在初始化时,通过 Homestaed.yaml 文件中的 keys 选项已经把 阅读全文
摘要:
Git 的基本设置 首先我们对 Git 进行用户名和邮箱进行设置,请参照下面格式,替换为你自己常用的用户名和邮箱来完成设置: 接下来设置 Git 推送分支时相关配置: 此设置是 Git 命令 push 的默认模式为 simple,当我们执行 git push 没有指定分支时,自动使用当前分支,而不是 阅读全文
摘要:
首先你需要一台阿里云/腾讯云服务器 安装系统选择 ubuntu 16.04 然后通过 ssh 登录远程服务器按下列步骤进行配置: 更新列表 安装语言包 安装常用软件 安装PHP7 安装 Mysql 安装 Nginx 配置 PHP7 配置 Nginx 拉取代码 安装 Composer 并使用 Comp 阅读全文
摘要:
深度学习(Deep Learning)是机器学习(Machine Learning)的一大分支,它试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。 逻辑回归(Logistic Regression,也译作“对数几率回归”)是离散选择法模型之一,属于多重变量分析范畴,是 阅读全文
摘要:
光标定位:将光标定位于需要开始编页码的页首位置。 光标定位:将光标定位于需要开始编页码的页首位置。 插入分隔符的”下一页”:选择“页面布局—>分隔符—> 下一页”插入。 插入分隔符的”下一页”:选择“页面布局—>分隔符—> 下一页”插入。 插入页码:选择“插入—>页码—> 页面底端”,选择“普通文字 阅读全文
摘要:
十大常见web漏洞 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击, 阅读全文
摘要:
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 阅读全文
摘要:
一、SQL 注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL 注入,被广泛用于非法获取网站控制权, 是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL 指令的检查,被数据库误认为是正常的SQL 指令而运行,从而使数据库受到攻击,可能导 阅读全文
摘要:
判断题 3306不是mysql默认端口吗,远程登录是3389啊 “死亡之ping”仍然是经典的拒绝服务攻击 这道题错了的话,该复习复习windows指令了。 单选题 A、不用生日做密码 B、不要使用少于8位的密码 C、密码保存到我的邮箱中 D、使用U-key双因子认证 A、特洛伊木马 B、拒绝服务( 阅读全文
摘要:
从渗透的行为,一般可以分为 1。黑帽子 以个人意志出发攻击。 2。白帽子 一般受雇于安全厂商,提高网络安全水平的主要力量。 3、灰帽子 往往技术超过黑帽子白帽子,为了利益或者其他冲突,多以行为来彰显自己的风格。 渗透,这正邪两字,原本难分。正派弟子若是心术不正,便是邪徒;邪派中人只要一心向善,便是正 阅读全文
摘要:
真的是一点都不过分,了解详情请继续往下读。 Burp Suite 介绍 Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。 所有的工具都共享一个能处理并显示 HTTP 消息,持久性,认证,代理,日志,警报的一个强 阅读全文
摘要:
如今Nmap的脚本引擎从一个普通的端口扫描器转变为具有攻击性的渗透测试工具 。随着nmap各种脚本的存在。到目前为止,我们甚至可以进行完整的SQL数据库渗透而不需要任何其他的工具。 今天就在kali下用nmap的数据库脚本引擎对mysql和mssql数据库进行基本的渗透与分析。 在调用nmap脚本之 阅读全文
摘要:
Mysql数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用Mysql作为其数据库支撑,目前很多架构都以Mysql作为数据库管理系统,例如LAMP、和WAMP等,在针对网站渗透中,很多都是跟Mysql数据库有关,各种Mysql注入,Mysql提权,Mysql数据库root账号web 阅读全文
摘要:
1)信息收集 a. 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b. 网站指纹识别(包括,cms,cdn,证书等),dns记录 c. whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) d. 子域名收集,旁站查询(有授权可渗透),C段等 e. google 阅读全文
摘要:
1、信息收集过程 网络信息收集:在这一部还不会直接对被测目标进行扫描,应当先从网络上搜索一些相关信息,包括Google Hacking, Whois查询, DNS等信息(如果考虑进行社会工程学的话,这里还可以相应从邮件列表/新闻组中获取目标系统中一些边缘信息如内部员工帐号组成,身份识别方式,邮件联系 阅读全文
摘要:
1 打开目标站点:www.xxx.com 2 注册账号并登录,大概找下注入点,没找到 3 用namp -A -T4 目标站点扫描开放的服务 发现mysql等 4 猜弱口令 + 字典 对mysql进行了破译 (运气较好,得到了密码) 5 连接到mysql 找到用户表,密码用md5加密,试了几个,解不出 阅读全文