- 博客(12)
- 收藏
- 关注
RSS订阅原创 渗透入门系列-DVWA靶场实战通关教程(Low等级一到七关--保姆级详细版)
暴力破解利用BurpSuite自动化尝试用户名密码组合,通过集束炸弹模式加载字典爆破凭证;命令注入通过拼接特殊字符(如|或&)在输入中嵌入系统指令,例如127.0.0.1 | dir实现目录遍历;CSRF攻击构造恶意URL(如包含password_new=123&Change=Change)诱骗用户点击以非授权修改密码;文件包含漏洞因未过滤page参数,可通过?page=../../etc/passwd读取服务器敏感文件或远程执行代码;文件上传功能未校验文件类型。
2025-06-22 09:02:40
1220
5
原创 【快速版】数据恢复术系列(一)之修复U盘丢掉的数据(简单的diskgenius使用教程)
摘要:文章介绍了使用ChipGenius和DiskGenius工具恢复U盘删除文件的方法。操作步骤包括:拷贝测试文件、删除后使用DiskGenius扫描恢复、错位路径保存到桌面。最终成功恢复视频文件,并强调数据备份的重要性。作者建议将重要数据多重备份(包括云存储),避免数据丢失风险。(98字)
2025-06-12 10:28:44
444
原创 Cursor Pro的学生免费计划:“一场面向未来的“人才投资”战”。学生免费开放使用1年!!【文中附上中文修改方法】
"optIn": "是的,请向我发送{company}的营销信息,包括独家促销、特别优惠、最新产品等","subtitle": "若未使用Cursor帐户关联的.edu邮箱,折扣将无法生效","page_instructions2": "2. 验证成功后,您将收到一次性优惠码","lightboxTriggerText": "点击验证折扣资格","redirectButtonText": "应用折扣","title": "请登录","page_title": "专属学生优惠 - 限时专享",
2025-05-31 01:08:21
1829
9
原创 渗透入门必备-DVWA靶场搭建教程(极其详细)
DVWA是一款专为Web安全测试设计的漏洞演练平台,包含OWASP TOP 10漏洞模块(如SQL注入、XSS等),支持四种安全等级(Low到Impossible)。安装步骤:1)通过phpstudy搭建Apache+MySQL环境;2)下载DVWA并配置数据库连接;3)修改配置文件注释环境变量并添加测试reCAPTCHA密钥。默认账号admin/password可登录,安全级别可在security.php调整,中文乱码需修改字符集为gb2312。该平台既适合新手学习基础渗透,也能满足专业人员的高阶挑战需求
2025-05-27 13:57:23
1422
2
原创 DarkHole_2靶机通关姿势保姆级教程(少爷/公主们请阅)
可以用它构造http request报文,且可以解析服务器返回的http response,额外还支持cookie特性,可以用curl完成web浏览器的基本功能。单独执行 last 指令,它会读取位于 /var/log/目录下,名称为 wtmp 的文件,并把该文件记录登录的用户名,全部显示出来。每个用户在系统中的账户都对应于此文件中的一条记录,这些记录定义了用户账户的各种属性。好家伙,内容全不见了。页面数据发生了改变,说明它将我们输入的数据代入到了数据中进行查询,然后将对应查询的结果显示在了浏览器上。
2025-05-07 16:02:22
875
原创 (速通版)【墨者学院网络数据包流量分析所有题目解析】
题目:某日,网络管理员抓取一段Wireshark数据包,其中有终端违规登录QQ号,请查找出这个QQ号码第一步用过滤语句:http contains "qq.com"过滤出qq的相关数据第二步找到cookie请求中的uin字段,uin后面默认跟着QQ号(注意去掉O号)。
2025-05-06 02:17:12
1229
原创 Cisp-pte基础题通关姿势--保姆级教学(sql注入、文件上传、文件包含、命令执行、日志分析)
发现关键信息:行 881: 172.16.12.12 - - [31/Oct/2017:15:33:50 +0800] "GET /adminlogin.php HTTP/1.1" 200 1888 "-" "-"。(1) php://input是个可以访问请求的原始数据的只读流,可以访问请求的原始数据的只读流,将post请求中的数据作为php代码执行。
2025-05-05 23:20:23
773
原创 安全从业者如何利用DeepSeek构建高效个人知识库(使用后即可获得福利:立刻获得 2000万 Tokens)
DeepSeek不仅是一款知识管理工具,更是安全从业者提升效率、学习成长和实现创新的强力助手。通过其结构化知识管理、智能化交互和多维度定制功能,安全从业者能够更从容地应对行业挑战,构建属于自己的竞争优势。无论是初入职场的新手,还是经验丰富的专家,DeepSeek都将成为他们职业生涯中的得力伙伴。在信息安全领域,知识就是力量,而DeepSeek则是这种力量的完美载体。
2025-02-28 12:24:28
1041
原创 2024年茂名市首届网络安全大赛--初赛(党政组)wp
main函数 21行发现,当支付方式选择4.Zero-yuan Shopping,进入 sub_40142F() ,发现有一个特殊的逻辑,当选择的商品是4,会进入进入sub_401287()。利用点1:存在fgets栈溢出,buffer s为32字节,读取56字节,即溢出24字节。进入sub_401287,由于跳转到后门函数 sub_40123B需要布置参数,直接通过溢出劫持rip不够空间布置rop,先把栈迁移到buffer s,在buffer中布置后门函数的参数,然后跳转到后门函数。
2024-08-28 03:04:52
755
2
原创 Python的保留字
需要注意的是,这些保留字区分大小写,例如`and`是保留字,但`And`不是。在编写Python代码时,避免使用这些关键字作为变量名、函数名或其他标识符,以免引起语法错误或逻辑混乱。掌握这些保留字对于熟悉Python编程至关重要。Python共有35个保留字,它们是语言的关键字,用于定义Python语言的语法和结构。
2024-04-23 11:32:17
3047
原创 HxD Hex Editor与winhex的区别
2. **功能特点**:HxD Hex Editor支持对主存储器(RAM)的原始磁盘编辑和修改,能够对任意文件进行十六进制编辑。1. **用户界面**:HxD Hex Editor以其简洁的用户界面和易于使用的特点而闻名,它提供了直观的操作方式,使得用户可以轻松地进行二进制文件的查看和编辑。而WinHex作为一个老牌的十六进制编辑器,它的用户界面可能不如HxD Hex Editor那么现代化,但同样提供了丰富的功能和工具,特别是在数据恢复和低级数据处理方面。用户可以根据自己的需求选择合适的工具。
2024-04-19 02:22:12
1330
原创 Windows内存镜像取证
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
2024-02-29 00:21:05
1303
2024年首届茂名市网络安全比赛(茂安杯)初赛部分题目,有crypto、misc、reverse、pwn和moblie的题
2024-08-08
第三届广东省大学生网络安全攻防大赛新手备赛cry-misc篇
2024-05-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人