Python_0011的博客

公众号：网络技术联盟站在网络安全领域，入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是两种关键的技术，旨在保护网络免受各种威胁。这两者尽管名字相似，但在功能、配置、以及应用场景等方面都有着显著的差异。

这下更伤心了，还记得前文提到的信息么，这个站是python的Django框架。躺了躺了，虽然洞没扩大，但是收获了一种别样的任意文件读取玩法。该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。大白也帮大家准备了详细的学习成长路线图。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因为此处直接使用的root，未有普通用户，故将注意力放在以下文件上，但是均读不到。

仪器培训是仪器使用前的重要环节，良好的培训效果也决定了后续仪器的使用效果。培训前事先对仪器相关理论知识有一个了解，那么培训质量就会大大提升，从而可以快速熟练地操作相关仪器。下面是关于流式细胞分析培训前要了解的一些基本理论知识。1.流式细胞术(Flowcytometry)英文涵义FLOW =Fluid; CYTO =Cell; METRY =Measurement2.流式细胞术定义激光照射高速流动状态下的单个细胞（生物颗粒）来获得散射光和荧光信号的强度，进而对细胞进行定性分析及定量的一门技术。3.流式细胞仪的

前面我们在上一阶段时候已经简单学习了路由的基础知识了，但是很多东西不是学完就可以了，需要不断复习总结归纳，然后基于原有技术学习更高级的知识的，关于路由的知识会一直反复进行学习和巩固。路由基础。

在线下攻防模式中日志分析是非常重要的一环，日志分析一般是在比赛正式开始之后进行的对其他攻击者的流量进行分析提取有用的信息，通过查看其他队伍打过来的流量可以分析到他们留下的WebShell文件名、漏洞利用方式、漏洞产生的点，方便自己进行攻击。因为主办方可能会不允许选手查看日志文件，再加上日志文件不会对POST的数据进行分析打印，所以我们在进行日志监控、流量分析时，一定要提前准备好自己的监控脚本，对Web服务进行监控、分析，这样才可以抓取到完整的其他队伍打过来的流量，方便自己审查。

0x00 前言熟练的阅读汇编代码是恶意软件分析时的基本功。在本节中，我将以一个比较简单的Downloader(下载者)程序为例，以纯汇编的角度来对该恶意样本进行分析。本节中所使用到的样本已经上传到了app.any.run可以访问这个地址进行下载：https://app.any.run/tasks/ba68e2aa-2083-48ad-ac3f-34dcc9e4446b这个地址是该样本在app.any.run上面的沙箱页面，访问该页面，然后单击Get sample即可下载。

一般来说，一个程序运行，就会在系统里留下一些痕迹，比如进程，注册表，服务启动项，网络连接，tmp等，通过这些增改的变动，我们可以反推出这个恶意软件想要做什么，从而去针对性的分析它。工具-选项，配置相关设置，一般来说，我喜欢把字体调大一点，字体喜欢console字体，关闭自动更新，还有就是这个中文，看多了英文的IDE，这个中文看起来，觉得十分别扭。这里应该已经错过截图了，就没有图了，安装组件的时候，只选一个C++开发就好，这样的话，整个程序装完大概是8-10G，安装旺完成图，需要重启。

在HP Data protecetor Media Operations 的客户端连接服务端时，通过私访有的通信协议，客户端会首先检查[系统分区]:\Documents and Settings\[用户名]\Application Data 下面是否有相应的资源(如插件等)，如果没有，则会向服务器请求需要的文件，服务器没有验证请求的文件名的合法性，而且这个过程不需要任何验证，攻击者精心构造文件名，可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏；

业务问题产生的漏洞很多，一些扫描器、WAF等安全产品也难以覆盖，尤其一些新上线的大型业务系统接口多，功能点的逻辑复杂，容易产生被忽视的漏洞，是SRC漏洞挖掘的重点部分，同时也提醒我们甲方此类安全测试的重要性。正常当我们输入错误的验证码时，请求会返回验证码错误信息且刷新一次验证码，当我们将客户端刷新验证码的请求hold住时，验证码处会一直停留在原始的验证码，不会再做刷新，此时我们就可绕过验证码刷新并使用burpsuite进行账户密码的暴力破解了。大白也帮大家准备了详细的学习成长路线图。

John the Ripper是一个免费开源并可以快速进行密码破解的工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。Metasploit是一款开源的安全漏洞检测工具，可以帮助黑客识别安全性问题，验证漏洞的缓解措施，并对管理专家驱动的安全性进行评估，提供真正的安全风险情报。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

它要求前端开发工程师不仅要掌握基本的Web前端开发技术，网站性能优化、SEO和服务器端的基础知识，而且要学会运用各种工具进行辅助开发以及理论层面的知识，包括代码的可维护性、组件的易用性、分层语义模板和浏览器分级支持等。做到这两点，其实很难。：不仅有JavaScript方面的介绍，还有CSS、HTML方面的介绍，但是介绍的内容却都非常不错，真正考虑到了一个大型的Web程序下，如何进行JavaScript架构设计，值得一读。Web前端开发是一项很特殊的工作，涵盖的知识面非常广，既有具体的技术，又有抽象的理念。

这些就是 Python 编程的基础内容，孩子们通过简单的代码示例就能理解如何：输出内容使用变量进行数学运算做条件判断使用循环编写一个小游戏这只是 Python 编程的入门，孩子们可以在此基础上尝试编写更复杂的程序，并不断提升自己的编程技能。希望这些简短的步骤能激发孩子们的兴趣，让他们享受编程的乐趣！

该阶段我们会学习面向对象（OOP）这一重要的编程思想，然后我们还会学习单例模式这一设计模式，异常的捕获，异常的抛出，from import局部导入，from import导入同名工具， from import导入所有工具，包的使用，制作模块，pip的使用以及文件的相关操作。该阶段是项目演练阶段，我们会带领大家通过使用之前学习过的知识开发飞机大战这一经典游戏，项目中分别有游戏窗口，图像绘制，游戏循环，事件监听，精灵和精灵组以及创建敌机，创建英雄和发射子弹，碰撞检测等模块。看过的人，都会学的无法自拔！

运行后你会看到类似这样的输出：2. 配置日志输出到文件在实际项目中，我们通常需要将日志保存到文件中：3. 创建自定义的Logger在大型项目中，我们通常需要创建多个Logger来分别处理不同模块的日志：4. 日志轮转当日志文件变得太大时，我们需要进行日志轮转：5. 在类中使用日志在面向对象编程中，我们可以这样使用日志：学习要点总结日志的基本配置和使用不同的日志级别及其应用场景如何将日志输出到文件创建和配置自定义Logger日志轮转的实现在类中集成日志功能创建一个日志系统，同时将ER

Nginx 是一种广泛使用的 Web 服务器和反向代理，它维护着两个关键日志，这些日志提供了有关其性能和用户交互的宝贵访问日志和错误日志。这些日志在监控和排查 Web 服务器活动方面发挥着关键作用。访问日志记录向服务器发出的每个请求，捕获请求 URL、客户端的 IP 地址、响应状态代码和用户代理等详细信息。此日志有助于了解用户行为、识别热门内容和检测潜在的安全威胁。分析访问日志可帮助 Web 管理员优化网站性能并增强用户体验。另一方面，错误日志捕获有关服务器运行期间遇到的问题的信息。

托管你发布内容的公司可能会接到法院传票，要求其向执法人员交出你发布的内容和元数据，比如你的位置信息或发布时间。一个保守组织发布了一个“多元化、公平与包容（DEI）观察名单”网站，上面列出了一些政府工作人员的名字，称这些人在个人资料中使用了（表明自身性别等身份认知的）代词、向民主党捐款，或是从事过与多元化、公平和包容相关的工作。不过，对于敏感聊天记录，你仍应避免任何备份。如果你特别担心，还可以采取更高级的措施，比如对你的整个设备进行加密，或者如果你认为自己可能会进入设备被没收的情况，就将设备数据清空。

总而言之，逻辑已成，剩下就交给代码就行，对于sign绕过，可以用js逆向进行解决在此文章中不赘述，总体逻辑思路就是，发现功能点->找寻关键位置->修改任意参数进行逻辑验证。这里就组合拳爆破一下就行，如果遇到加密可以自行进行js逆向，逆向过程就不在这里赘述了，思路在以往的文章中有思路，更细致全面的思路在日后会讲解。对于该页面的功能点没必要进行深度测试，只不过是找了某个虚拟货币挖掘的web页面，机制会相对较弱一些，选择email登录。笔者提供思路，抛砖引玉，欢迎广大学者提出建议，本人技术不足，海涵。

对于企业机构而言，在对邮件高强度加密的基础上，更加需要策略上的管控。攻击者直接利用0day或Nday漏洞攻击暴露在互联网的系统，例如，旧版本微软浏览器在执行Script脚本时存在漏洞，即微软著名的IIS服务器溢出漏洞，攻击者通过一个IISHACK攻击程序即可令IIS服务器崩溃，并且同时在受控服务器上执行木马程序。因此，政企及个人在加强自身安全意识的基础上，采取有效的数据安全措施，如使用加密技术，定期备份数据，对敏感数据进行访问控制，数据防泄漏、监控和审计等措施，尽可能确保数据安全。

这次恶意行为主要针对加密货币投资者，大量包含该 SDK 的应用在安装后会试图通过 OCR 光学识别来检测用户加密货币钱包的助记词或恢复密钥，然后将其传送到黑客控制的服务器进而恢复加密货币钱包以清空资产。此次攻击活动被卡巴斯基实验室称为 SparkCat，该名称取自恶意 SDK 名称 Spark，而包含这些恶意 SDK 的开发者很可能在不知情的情况下集成了这个恶意 SDK。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

与拒绝服务 (DoS) 攻击（使用一台计算机及其互联网连接通过海量数据包淹没目标系统）不同，DDoS 攻击是单个实体或攻击者利用多台受感染的计算机（称为“Bot”或“僵尸”）生成指向目标的过多流量，导致目标网络、Web 服务器、计算机或应用因受到来自多个来源的大规模流量的轮番轰炸而中断。当客户放弃性能低下甚至无法访问的站点时，企业损失的不仅仅是直接收入，还有忠诚客户的潜在流失——他们可能会访问竞争对手的站点，并一去不复返。这可通过限制攻击者所能向您的应用发送的流量来防止 DDoS 攻击。

人机交互接口（Human-Machine Interface, HMI）是指人与计算机系统之间进行信息交换的界面。它包括输入设备（如键盘、鼠标）和输出设备（如显示器、打印机）。人机交互接口是微机原理与接口技术中的重要组成部分，理解和掌握其工作原理及应用，对于提高解决实际问题的能力具有重要意义。希望通过本文的讲解，大家能够对人机交互接口有一个更深入的认识。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。（都打包成一块的了，不能一一展开，总共300多集）

软件测试工具是催化剂，将决定市场带给测试的新时代挑战的速度。“ 善于利用工具，能提高工作效率。但，勿太依赖工具，任何的工具，只可辅助。题外话初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：2023届全国高校毕业生预计达到1158万人，就业形势严峻；国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

如果你本科以上，学信网双证齐全，年龄25以上，毕业三年以上，且还具有良好的学习能力，建议选个靠谱的培训机构，有攻防实验室，课程体系和教学条件完善的，不要去小机构，各方面都不正规没有保障。也要要多从就业考虑考虑，比较花钱学习最终的目的是为了就业，不能光看web渗透多么火热，到处护网都在叫缺攻击队的人，结果后面找到工作会发现很多用人单位更多需要的是防守队，渗透成大佬的比例太小。如果学的差不多的，找个安服仔的工作倒是比较容易，可是这时候你又会发现，自己自学也能达到这效果，完全没有必要花钱报班。

十个知识域包括：信息安全保障、信息安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发。认证机构：中国信息安全测评中心，是中央批准成立的国家权威信息安全测评机构，CISP是当之无愧的国家级认证，是国内对信息安全从业人员资质能力的最高认可。CISP为强制培训，报名CISP认证考试必须参加授权培训机构的培训，获得培训合格证书，并由授权培训机构代报名CISP考试。人员”，是对信息安全专业人员所具备的专业素质和能力的认可。

程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入。动态包含。

黑客入门需要进行以下准备：学习编程：黑客必须具备良好的编程技能，以便能够理解计算机系统并编写自己的工具和脚本。建议学习 Python、C、C++等编程语言。学习操作系统：黑客必须了解操作系统的内部机制和工作原理，以便能够利用其漏洞和弱点。建议学习 Linux 等操作系统。学习网络安全：黑客必须了解网络安全的基础知识，如网络协议、漏洞和攻击技术等。学习逆向工程：黑客必须了解逆向工程的基础知识，以便能够分析恶意软件和漏洞利用程序。学习加密技术：黑客必须了解加密技术的基础知识，以便能够分析和破解加密算法。学习安全

是深信服攻防渗透专家多年的一线域内攻防实战经验，获得阿里、腾讯、京东、小米、美团、金山、360、奇安信、长亭、绿盟、启明星辰等企业和机构的30余位专家高度评价并推荐。推荐语：国内首本CTF赛事技术解析书籍，老牌CTF战队FlappyPig撰写，从安全技术、解题方法、竞赛技巧3大维度全面展开，Web、Reverse、PWN、Crypto、APK、IoT 6大篇，扎扎实实30章，厚达518页，三度Pwn2Own冠军Flanker、CTF赛事国内推动先驱者诸葛建伟、段海新教授联袂推荐。《数据安全实践指南》

Metasploit是一个渗透测试框架，可以帮助您发现和利用漏洞。Metasploit还为您提供了一个开发平台，您可以编写自己的安全工具或利用代码。今天，我将指导您了解如何使用Metasploit的基础知识：如何安装Metasploit，使用框架以及利用漏洞。

（1）如果你家境宽松，不用担心未来买房买车娶妻生子的问题，也不用担心薪资低生活质量下降的问题。那么我认为你应该遵循自己内心的想法，选什么都可以（2）如果你目前大四马上就要毕业，不打算考研也没有什么基础，想找一份薪资较高的工作。那么我建议你选择程序员，无论前端后端都可。如果你选安全可能会大失所望。

网络的社会普及性和依赖度日渐提高，对于越来越多的社会公众来说，它不仅仅是工作、生活的重要平台，甚至已经成为工作、生活的基本内容之一;10接入高防服务如果想进一步保障网络安全，尤其是容易遭受网络攻击的互联网企业，建议接入专业的高防服务，保障服务器稳定运行，避免因业务停运导致的巨额损失。5 网络安全漏洞扫描根据模拟网络攻击的方式,提前获取可能会被攻击的薄弱环节，为系统安全提供可信的分析报告，发现未知漏洞并且及时修补已发现的漏洞。4安装补丁程序下载和安装补丁程序，修复系统和软件漏洞，有效的减少安全漏洞的隐患。

它提出的问题是「目标函数是否符合预期」，根据的是模型目标和行为在多大程度上符合人类的期望。但在实际应用中，这些模型的目的是执行某种形式的有价值的认知工作，并且这些模型的训练方式与期望使用它们的方式之间存在明显的差异。该模型还针对传统 NLP 任务（如解答问题、阅读理解和摘要）的零样本学习的性能进行了评估，开发人员发现在其中一些任务上模型的表现比 GPT-3 要差一些，这是一个「一致性税」( alignment tax) 的例子，其中基于 人类反馈强化学习的一致性程序是以降低某些任务的性能为代价的。

我们学习网络安全，很多学习路线都有提到多逛论坛，阅读他人的技术分析帖，学习其挖洞思路和技巧。但是往往对于初学者来说，不知道去哪里寻找技术分析帖，也不知道网络安全有哪些相关论坛或网站，所以在这里给大家做一个网络安全的论坛网站分享。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。网址：http://www.hackernc.com。网址：http://bbs.pediy.com。网址：http://xz.aliyun.com。网址：www.anquanke.com。

本列表，收集一些在服务器上运行的一些工具，组建自动化，服务器长期挂跑项目 欢迎提issues，来丰富工作流程，比如自己挖洞时候的一些简易流程，工具+调用命令， 在我的日常渗透中，我发现我重复调用几个工具，但是不同的调用组合渗透的工作流程，有时候调用命令会忘记，所以有了这个列表，来达到帮助我记忆一些流程命令的文档，未来还会细化过程，脚本小子福音了。提取JS命令 https://github.com/tomnomnom/fff。对UEL进行提取https://github.com/tomnomnom/gf。

如今，组织的信息系统和数据面临着许多威胁。而人们了解网络安全的所有基本要素是应对这些威胁的第一步。网络安全是确保信息完整性、机密性和可用性(ICA)的做法。它代表了应对硬盘故障、断电事故，以及来自黑客或竞争对手攻击等防御和恢复能力。而后者包括从编程人员到能够执行高级持续威胁(APT)的黑客和犯罪集团的所有人，并且它们对企业的信息安全和业务构成严重威胁。因此，企业的业务连续性和灾难恢复规划对于网络安全至关重要，例如应用程序和网络安全。安全应该成为企业的头等大事，并得到高级管理层的授权。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。最后的最后，祝每一位看到这里的朋友都能被世界善待，收获自己想要的offer。当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。推荐指数：★★★★★。推荐指数：★★★★★。推荐指数：★★★★★。推荐指数：★★★★★。

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

这两年被Python初学小白问到最多的问题就是，该用什么代码编辑工具？说实话，我个人是用Jupyter Notebook最多，主要是经常做数据可视化，方便些。但对于初学者来说，PyCharm仍是不二的选择，甚至我建议你只用PyCharm.从当前所有主流Python IDE来看，PyCharm是最适合做Python开发的，特别对新手而言，可以节省很多不必要的时间成本。那么具体如何使用呢？Python 3.10.2解释器安装在 PyCharm 2021.1.3开发工具安装。