- 博客(14)
- 收藏
- 关注
RSS订阅原创 在网络攻防实战中的四大渗透技巧与注意事项 —— 以 sqlmap 为例
本文介绍了sqlmap在网络攻防实战中的四大技巧与注意事项。首先强调技术仅用于合法研究,不得用于非法用途。主要技巧包括:(1)优化注入语句参数(--dbms、--technique等)提升效率;(2)使用--random-agent绕过WAF检测;(3)利用--tamper参数或自定义脚本绕过WAF拦截;(4)通过--proxy参数结合BurpSuite调试分析注入问题。重点说明了level和risk参数的不同等级对测试范围的影响,以及如何针对WAF拦截进行针对性处理。
2025-09-01 22:00:00
570
原创 在 sqlmap 中 dev 和 stable 的差异分析
本文探讨了sqlmap工具dev和stable版本的差异问题。作者在渗透测试中发现,相同payload在不同版本sqlmap上运行结果不同:dev版报错找不到指纹,而stable版可成功注入。经研究发现,虽然日常使用中两个版本无明显差异,但在某些特殊情况下,dev版可能无法识别数据库类型导致注入失败。文章建议当遇到类似情况时,应检查sqlmap的版本差异。同时指出Kali Linux自带sqlmap安装,并提供了区分版本的小技巧。最终确认该现象并非重大发现,但提醒用户注意版本选择。
2025-09-01 15:41:03
217
原创 基于局域网出现的网络广播风暴的解决方案
网络广播风暴是导致网络瘫痪的常见故障,主要表现为广播数据帧在网络中大量复制传播,占满带宽。常见成因及解决方案包括:1.网线短路导致端口阻塞,可使用流量监控软件定位问题端口;2.网络拓扑环路引发数据帧重复广播,需启用生成树协议;3.网卡或交换机端口损坏产生异常广播,需更换硬件;4.蠕虫病毒占用带宽,需安装杀毒软件和补丁服务器;5.ARP攻击发送大量请求包,需绑定IP-MAC地址并启用防护。这些措施能有效预防和解决网络广播风暴问题。
2025-08-29 22:33:54
671
原创 有手就行 | 一步步微调你的大模型 —— 以飞桨 AI Studio 为例
本文介绍了基于百度飞桨(PaddlePaddle)平台微调ERNIE-4.5-0.3B大模型的完整流程。首先介绍了PaddlePaddle深度学习平台及其AI开发工具AI Studio,并准备了ERNIEKit格式的数据集。随后详细说明了安装PaddlePaddle GPU版本、ERNIE框架和FastDeploy工具的步骤,以及下载预训练模型和修改配置文件的方法。重点介绍了使用LoRA方法进行模型微调的过程,最后展示了模型导出和部署的步骤。整个流程展现了百度飞桨生态在大模型训练和部署方面的便捷性。
2025-08-28 17:07:06
874
原创 sqlmap 中的 10 个 Tamper 脚本实战技巧(下)
Tamper组合技术通过叠加多个脚本(如编码层+语法层组合)提升攻击效果,需注意避免冲突和执行顺序。自定义Tamper开发需遵循Python模板,可集成WAF指纹库等高级技巧。防御方应通过深度解析、行为分析和机器学习检测异常请求,如高熵值请求和时序行为建模。
2025-08-26 18:30:00
296
原创 sqlmap 中的 10 个 Tamper 脚本实战技巧(中)
本文介绍了五种SQL注入绕过技术脚本的核心功能与实现原理。space2mssqlblank.py利用控制字符替换空格,适用于IIS+ASP.NET环境;base64encode.py通过Base64编码转换语句,支持多种数据库执行方式;charencode.py采用多层URL编码,利用WAF与容器解码差异绕过检测;randomcase.py随机化关键字大小写,破坏正则匹配规则;versionedmorekeywords.py在关键词中插入版本注释,保持语句完整性。这些技术展现了SQL注入绕过的多样化实现思路
2025-08-26 10:45:00
432
原创 sqlmap 中的 10 个 Tamper 脚本实战技巧(上)
本文深入解析SQL注入测试中10个关键Tamper脚本的实战应用技巧。这些脚本通过动态修改SQL攻击载荷,有效绕过WAF规则检测。重点介绍了apostrophemask.py(单引号UTF-8转换)、equaltolike.py(等号替换)、space2comment.py(空格注释化)等核心脚本的技术原理、高级用法和适用场景,并提供了具体变形示例和实测数据(如space2comment对AWS WAF绕过率达63.2%)。这些技巧充分利用WAF与数据库解析差异,是渗透测试人员突破WAF防护的关键技术。
2025-08-25 18:45:00
1126
原创 STC-USB 驱动在 Windows XP 中的安装说明
本文介绍了STC-USB驱动安装步骤。首先打开V6.79或更高版本的STC-USB下载软件,插入设备后选择“否,暂时不”和“自动安装软件”选项,点击“仍然继续”完成驱动安装。安装成功后,下载软件会自动识别设备并显示为“STCUSBWriter(USB1)”。整个过程简单快捷,适合快速完成设备驱动配置。
2025-08-25 09:45:29
182
原创 Proteus Pro 7.8 SP2 安装 / 破解 / 汉化
本文详细介绍了Proteus 7.8 SP2软件的安装与破解流程。支持Win7/Win8.1系统,Win10理论上可行,强调安装路径必须为英文。安装步骤包括关闭杀毒软件、解压文件、按指引完成安装,特别注意许可证文件的处理。破解环节需以管理员权限运行破解程序,并修改安装路径。最后提供汉化方法,提醒替换文件时保持英文路径。整个过程需严格遵循步骤,确保杀毒软件关闭,方能成功安装运行。
2025-08-23 16:32:34
936
转载 Hello CTF | 成为 CTFer 的第一步
本文介绍了CTF竞赛的入门方向与练习平台,建议新手从WEB和MISC两个方向入手:WEB类题目不需底层知识,MISC趣味性强且难度较低,适合快速熟悉比赛模式。国内主流练习平台包括NSSCTF、BUUCTF、CTFshow等8个平台,各具特色,如CTFshow的MISC/Web入门题、CTFHub的技能树等。入门关键是多做题、看WriteUp并持续学习,循序渐进掌握CTF竞赛技巧。
2025-08-22 21:00:00
23
转载 Hello CTF | 欢迎来到 CTF 的世界
本文介绍了网络安全竞赛CTF(夺旗赛)的基本概念和发展历程。CTF起源于1996年DEFCON大会,主要分为解题模式、攻防模式和静态攻防三种赛制,包含MISC、CRYPTO、WEB、逆向工程和PWN五大方向。文章解释了Flag、WriteUp等专业术语,并指出学习CTF只需具备信息检索和学习能力即可入门。该系列教程旨在帮助新人系统学习CTF知识,逐步融入网络安全竞赛领域。
2025-08-22 14:40:21
29
原创 有手就行 | 用自己的声音训练你的AI音频模型 —— 以飞浆AI Studio为例
【摘要】本文介绍了一个简易的TTS模型训练方法。作者对比了SVC项目的复杂性,使用了百度飞桨AI Studio平台的PaddleSpeech项目,操作简单且完全免费。教程详细讲解了从数据集准备(要求音频干净、采样率24000Hz的WAV格式)、使用剪辑软件处理音频、格式工厂转换参数,到在AI Studio上传数据、校验及训练模型的全过程。整个流程无需编程基础,适合新手体验AI语音合成技术。
2025-08-21 18:42:45
1145
原创 基于 Python 实现 MIDI 音乐播放程序 —— 以《起风了》为例
本文介绍了一个使用Python winsound模块模拟MIDI音乐播放的程序。该程序通过定义音阶映射表(Scale类)和音符常量(Voice类),将MIDI编号转换为对应频率,利用winsound.Beep()函数播放方波音调。核心功能包括播放单音(play_note)和解析音乐数据(play_music)两个函数,支持处理休止符、延长音等特殊标记。由于使用Windows原生音频接口,该方案无需安装第三方库,可作为简单的MIDI替代方案。
2025-08-21 13:00:00
233
转载 基于停车场智能助手的实现
摘要:针对城市停车难问题,本文提出基于AI技术的停车场智能助手解决方案。系统采用YOLOv3模型实现车辆实时检测,结合RAG检索增强技术和大模型对话系统,构建了包含视频监控、车位统计、违规识别和智能问答的多功能平台。通过Gradio实现可视化交互界面,系统能精确统计车位使用情况(准确率95%),识别5类车型,并提供费用透明查询功能,将平均寻位时间缩短70%。该方案有效解决了传统停车场存在的信息不对称(减少80%无效绕行)、管理混乱等问题,为智慧城市建设提供了可落地的技术范式。
2025-08-20 15:28:35
33
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人