01 2021 档案

练习4随笔
该文被密码保护。
posted @ 2021-01-27 19:13 w1hg 阅读(5) 评论(0) 推荐(0)
信息搜集笔记
摘要:相关文件:https://files.cnblogs.com/files/w1hg/%E4%BF%A1%E6%81%AF%E6%90%9C%E9%9B%86.zip 阅读全文
posted @ 2021-01-25 23:35 w1hg 阅读(46) 评论(0) 推荐(0)
文件上传实例2
摘要:通过访问网站,可以发现他的题目,从中寻找文件上传点 很显然这是一个文件注入点,我们填完信息之后发现无法提交,所以考虑别的方法 单独上传一个图片试一试,因为题目中规定了只能上传png,jpg,gif的文件,但上传这些文件无意义,所以我们考虑用bur抓包该包放包上传php的一句话木马 bur抓包后改包内 阅读全文
posted @ 2021-01-22 18:00 w1hg 阅读(124) 评论(0) 推荐(0)
文件上传实例
摘要:我们通过访问这个网站,可以知道这是一个幼儿园的网站 我们通过逐个查找系统的子页面,发现在以下2个地方可能会出现文件上传漏洞 这个地方有一个2个图片,我们考虑是否可以通过上传图片马解决这个问题,发现这个地方他是不可以进行操作的 所以我们接着查找文件上传的注入点 发现这个地方存在文件注入点,我们直接上传 阅读全文
posted @ 2021-01-22 16:36 w1hg 阅读(83) 评论(0) 推荐(0)
文件上传漏洞笔记随笔
摘要:文件上传: 1、文件上传流程: 1.前端选择文件,进行提交。 我们在浏览器中上传文件2.浏览器形成POST MultiPart报文发送到服务器。(抓包)3.服务器中间件接受到报文,解析后交给相关后端代码进行处理。 (服务器相关编程)4.后端代码将上传的文件内容写入到临时文件中( PHP特有 ) 。5 阅读全文
posted @ 2021-01-20 19:38 w1hg 阅读(294) 评论(0) 推荐(0)
练习3随笔
该文被密码保护。
posted @ 2021-01-20 14:53 w1hg 阅读(4) 评论(0) 推荐(0)
python,ctf笔记随笔
摘要:一、在centos虚拟机中安装pyhton3环境: 安装pip3:yum install python36-pip 将pip升级到最新版本:pip3 install --upgrade pip 运行pip:pip 安装requests模块:pip install requests 列出系统中已经安装 阅读全文
posted @ 2021-01-14 23:19 w1hg 阅读(864) 评论(0) 推荐(0)
sql注入漏洞笔记随笔
摘要:sql注入是从1998年出现的,是一个十分常见的漏洞,它是OWASP top10的第一名(注入) 在了解sql注入之前,我们需要先了解web框架 webapp:web网站,这种方式它采用的是B/S架构 在这种方式下:web网站通过对数据库的操作来实现web网站的部分功能 数据库和web网站在同一台服 阅读全文
posted @ 2021-01-13 11:58 w1hg 阅读(407) 评论(0) 推荐(0)
练习2随笔
该文被密码保护。
posted @ 2021-01-13 11:57 w1hg 阅读(6) 评论(0) 推荐(0)
linux笔记全(无图版)
摘要:1、ls 查看当前目录下的所有内容 黑色的是文件,蓝色的是文件夹,也就是目录 2、rm -f anaconda-ks. cfg 彻底删除文件(如不确定,则需要先保存备份,也就是快照) 3、ifconfig 查看网卡的配置信息(ip地址等) 4、ifconfig ens33 192.168.18. 2 阅读全文
posted @ 2021-01-11 00:05 w1hg 阅读(366) 评论(0) 推荐(0)
linux笔记2随笔
摘要:124、diff命令:文件内容对比 diff命令用于比较多个文本文件之间的差异,这在系统安全防范中非常重要。比如当黑客入侵系统之后,往往会修改一些系统配置文件,从而留下一些后门。 所以作为运维人员。最好事先将一些重要文件备份,然后定期执行dif命令进行对比,从而发现文件是否被改动过。 进行文件内容的 阅读全文
posted @ 2021-01-11 00:02 w1hg 阅读(356) 评论(0) 推荐(0)
ms17-010
摘要:永恒之蓝和ms17-010简介: 永恒之蓝(EternalBLUE)”是Shadow Brokers(影子经纪人)黑客组织公布的一款黑客工具,该工具利用的漏洞也被称为MS17-010漏洞,MS17-010漏洞是多个SMB漏洞的组合。 永恒之蓝利用的漏洞是ms17-010,ms17-010是多个SMB 阅读全文
posted @ 2021-01-07 14:41 w1hg 阅读(949) 评论(0) 推荐(0)
linux笔记1(不全,无图版)随笔
摘要:1、ls 查看当前目录下的所有内容 黑色的是文件,蓝色的是文件夹,也就是目录 2、rm -f anaconda-ks. cfg 彻底删除文件(如不确定,则需要先保存备份,也就是快照) 3、ifconfig 查看网卡的配置信息(ip地址等) 4、ifconfig ens33 192.168.18. 2 阅读全文
posted @ 2021-01-06 20:12 w1hg 阅读(205) 评论(0) 推荐(0)
网络安全渗透面试题汇总
摘要:京东二面整理: 1、平时测试是怎么做的(给个目标、给个域名这类嘛) 2、一个登录框大概怎么测试 3、进入后台大概干什么 4、文件上传绕过 5、拿个一个shell一般会怎么做 6、拿到一个shell怎么进行信息收集 7、nmap可以直接扫内网嘛 或者说 nmap怎么扫内网 8、你感觉cs扫内网的速度怎 阅读全文
posted @ 2021-01-06 19:33 w1hg 阅读(907) 评论(0) 推荐(0)
nmap工具使用随笔
摘要:1、nmap主要用途:主机发现,端口扫描,版本检测,os检测 2、Nmap是Linux下的网络扫描和嗅探工具包,它可以扫描大型的网络,获取那台主机正在运行以及提供的服务等信息。 3、nmap语法格式: nmap [Scan Type(s)] [Options] {target specificati 阅读全文
posted @ 2021-01-06 19:30 w1hg 阅读(216) 评论(0) 推荐(0)
html随笔
摘要:1、常用的html标签、表单 <P></P> <br> <h1> <ul></ul> <li></li> <font></font> <body></body> <div></div> 表单: <!--表单域 form--> <form method="post" action="1.php" na 阅读全文
posted @ 2021-01-06 19:20 w1hg 阅读(95) 评论(0) 推荐(0)
渗透测试基础1笔记随笔
摘要:1、渗透测试(Penetration Testing)是一种通过模拟恶意黑客攻击的技术与方法,挫败目标系统的安全控制措施并获得控制访问权的安全测试方法。 2、网络渗透测试主要依据CVE(Common Vulnerabilities and Exposures)已经发现的安全漏洞,模拟入侵者的攻击方法 阅读全文
posted @ 2021-01-06 18:55 w1hg 阅读(530) 评论(0) 推荐(0)
http笔记随笔
摘要:1、HTTP (HyperText Transfer Protocol)超文本传输协议(80端口) 1、规定浏览器和服务器之间相互通信的规则 2、万维网交换信息的基础 3、允许将HTML文档从Web服务器传送到Web浏览器 2、http协议的特点: 1、HTTP协议建立在TCP协议基础之上 2、HT 阅读全文
posted @ 2021-01-06 18:52 w1hg 阅读(184) 评论(0) 推荐(0)
web笔记随笔
摘要:1、Web服务组件 8、第三方内容:广告统计、mockup 7、Web前端框架: HTML5、 jQuery、 Bootstrap 6、Web应用: CMS、 BBS、 Blog 5、Web开发框架: ThinkPHP、Django、 Rails 4、Web服务端语言: PHP、 JSP、 .NET 阅读全文
posted @ 2021-01-06 18:48 w1hg 阅读(338) 评论(0) 推荐(0)
如何区别php,jsp,asp,aspx随笔
摘要:PHP是一种跨平台的服务器端的嵌入式脚本语言。它大量地借用C、Java 和 Perl 语言的语法,并耦合PHP自己的特性,使WEB开发者能够快速地写出动态产生页面。它支持目前绝大多数数据库。还有一点,PHP是完全免费的,不用花钱,你可以从PHP官方站点自由下载。而且你可以不受限制地获得源码,甚至可以 阅读全文
posted @ 2021-01-05 22:49 w1hg 阅读(237) 评论(0) 推荐(0)