- 博客(577)
- 资源 (268)
- 问答 (2)
- 收藏
- 关注
RSS订阅
原创 [编程基础] Python · 学习手册
这是一个以企业级开发标准构建的 Python 全栈深度技术专栏,覆盖语言核心、并发模型、解释器机制、框架设计、云原生架构等全领域知识体系。✅ 打造工业级工程能力(Django/Flask工程化 × asyncio异步生态 × uWSGI性能调优 × 容器化部署)✅ 深挖语言底层运行逻辑(解释器字节码机制 × 垃圾回收算法 × 协程调度原理 × C 扩展开发)✅ 重塑系统性技术认知(类型系统进阶 × 元编程黑魔法 × GIL锁优化 × 内存泄漏追踪)0x01:初窥门径 — 语言认知阶段。
2025-05-13 06:00:00
332
原创 [编程基础] PHP · 学习手册
✅ 掌握生产级开发思维(Laravel/Symfony生态 × Swoole协程架构 × PHP-FPM优化 × 分布式服务化)✅ 培养底层原理剖析能力(Composer机制/Zend引擎原理/Laravel服务容器/Swoole事件循环)编程通识基础:标识符 & 保留字/ 变量 & 常量 / 变量类型 / 运算符 / 注释符 / 转义字符。PHP 语言初识:介绍编程语言的发展历史 & PHP 的定位以及 PHP 能干的事情。PHP 环境搭建:如何完美且快速的搭建一个 PHP 的基础开发环境。
2025-05-12 12:03:56
410
1
原创 [Web 安全] Web 安全攻防 · 学习手册
Web 安全攻防体系目录,想要学习 Web 安全的小伙伴可以参考此目录,笔者会定期更新其中内容
2025-02-24 21:50:09
1244
2
原创 AWVS 漏洞扫描 | 扫描登录后站点 · 定制 Cookie 绕过登录
为啥会以这种形式展示呢?但其实,上面的方式也有弊端,因为一些站点的 Cookie 中会携带特殊的加密字段,该字段会随着时间的变化而变化,当你拿固定的 Cookie 请求多次后,它也会认定你是人机,会对你开启人机校验,这都是爬虫中的一些注意事项。但是我们知道,现在网站大部分登录时都存在 “验证码”,有数字的、图形的、甚至还有做题的,而每次登录所需要执行的操作都不太一样,针对这种网站,再使用 “登录序列脚本” 的方式来进行登录就明显不适用了。拿到 Cookie 信息后,返回 AWVS,输入 Cookie 值,
2025-08-09 10:29:45
196
原创 AWVS 漏洞扫描 | 扫描登录后站点 · 录制登录序列脚本
如上,可以看到,当我们在页面上进行操作时,AWVS 就会在右侧记录我们的操作信息,当我们完成登录操作后,就可以点击 “Next” 按钮,进入下一阶段(“Record Restrictions”)了。我们知道,DVWA 靶场是可以调节难度的,默认情况下,其难度等级为 “Impossible”,在该等级下,其号称能够防御所有漏洞,那么我们此时进行漏扫结果就不会太明显,扫描不出什么漏洞。笔者这边多提一嘴,就是,我们录制完登录序列后,如何确定 AWVS 扫描的真的是登录后的页面接口呢?
2025-08-09 10:22:13
359
原创 AWVS 漏洞扫描 | 扫描登录后站点 · 自动识别表单登录
后面的 “Scan Statistics” 和 “Events” 标签页我们其实不太常用,所以笔者就不做讲解了,那么至此,使用 AWVS 的 “try to auto-login into the site” 功能对登录后页面进行漏洞扫描的讲解就完毕了。我们知道,DVWA 靶场是可以调节难度的,默认情况下,其难度等级为 “Impossible”,在该等级下,其号称能够防御所有漏洞,那么我们此时进行漏扫结果就不会太明显,扫描不出什么漏洞。
2025-08-07 17:22:55
939
原创 AWVS | AWVS 工具安装 —— Kali Linux 操作系统安装 AWVS
接下来就是一路 "ENTER",直到出现 "Accept the license terms?至此,Kali Linux 操作系统安装并破解 AWVS 已结束。0x0201:AWVS 环境配置 — 工具安装流程。0x0202:AWVS 环境配置 — 工具激活流程。0x01:AWVS 工具安装 —— 资源获取。0x01:AWVS 工具安装 —— 资源获取。0x02:AWVS 工具安装 —— 安装流程。想了解这个工具的其它相关笔记?
2025-08-07 17:06:45
718
原创 [网安工具] Web 漏洞扫描工具 —— AWVS · 使用手册
AWVS(Acunetix Web Vulnerability Scanner)是一款由 Acunetix 公司开发的自动化 Web 应用安全测试工具,专注于发现和报告 Web 应用程序中的安全漏洞,如 SQL 注入、跨站脚本(XSS)、文件包含、路径遍历等常见漏洞。AWVS 工具安装 —— Windows 操作系统安装 AWVS - 🌟 AWVS 14.5.211115146。AWVS 工具安装 —— Linux 操作系统安装 AWVS。0x01:AWVS —— 工具简介。想了解其它网安工具?
2025-08-02 21:43:32
965
1
原创 [网安工具] 自动化威胁检测工具 —— D 盾 · 使用手册
使用方法:如果是IIS网站环境,解压到相应的目录站点,点击【安装[D盾]保护】,如果不是IIS环境,可以当作web查杀软件使用。安装保护后是绿色的图标,扫描全部网站,可以扫描网站也可以扫描目录。同时,D 盾不仅限于服务器防护,还提供覆盖终端安全的综合解决方案,集成病毒查杀、实时监控、防火墙及反恶意软件等核心功能,形成多层次防御体系。如果你的站点不是 IIS 网站环境,或者你不准备用 D 盾做防火墙,那么你就可以不用安装 D 盾,单纯的把它当作一个杀毒软件即可,笔者后面介绍的功能也主要是围绕查杀来讲的。
2025-07-24 19:27:24
981
原创 知攻善防实验室 | Linux 应急响应靶机 — Linux 1
0x04:参考资料应急响应靶机-Linux(1)为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机0x01:应急响应 —— 题目环境介绍0x0101:应急响应靶场 — 场景导入小王急匆匆地找到小张,小王说 "李哥,我 dev 服务器被黑了,快救救我!!”(短短一句话,来了三个人物)。挑战内容如下:黑客的 IP 地址遗留下的三个 flag0x0102:应急响应靶场 — 环境导入。
2025-07-11 09:41:06
642
原创 Visual Studio Code | VSCode 环境配置 —— VSCode 配置前端开发环境 — Live Server
0x01:Live Server 页面动态刷新插件 — 插件简介🌟0x01:Live Server 页面动态刷新插件 — 插件简介Live Server 是 Visual Studio Code 中的一个轻量级扩展插件,该插件通过创建本地开发服务器,自动监听 HTML、CSS 和 JavaScript 文件的改动,当用户保存代码时即刻触发浏览器的同步刷新,实现 “代码所见即所得” 的实时调试体验。0x02:Live Server 页面动态刷新插件 — 安装流程。
2025-05-24 06:00:00
1133
原创 Visual Studio Code | VSCode 卸载问题 —— 如何干净 & 彻底的卸载 VSCode ?
上面这个是一般人的卸载流程,一般人完成这步操作后就结束了,就不继续了,这会导致啥情况?就是,你把 VSCode 的软件本体卸载了,但是它里面安装的插件你没卸载,你等下回又安装 VSCode 的时候,插件又回来了,即插件会一直占据你的硬盘空间。即,你上次卸载的不干净这么一个问题。在上一级文件夹中,我们找到要删除的文件夹,即 Code & .vscode 点击删除即可,这样,你之前下载的那些插件啊,用户配置啥的,就没了,VSCode 也就被卸载干净了,你下次下载,就会和新的一样。
2025-05-24 06:00:00
916
原创 知攻善防实验室 | Windows 应急响应靶机 — Web 2
如上,通过 ls 命令,我们发现了靶机的 FTP 服务根路径与其 Web 服务根路径疑似是同样的,而且其 Web 根路径上还是 WordPress 的内容,而 WordPress 又是采用的 PHP 编写的,这证明了啥?如上,谁登录过计算机,一目了然,克隆账号就没这个顾虑,它登录的直接是 Administrator 的桌面,就是如果靶机的 Administrator 也同时进行登录,会出现顶号的情况。如上,轻轻松松就扫描出来,但描述说的是 “隐藏账号”,而不是 “克隆账号”。OK,下面开始应急推理。
2025-05-23 06:00:00
1111
原创 Visual Studio Code | VSCode 拓展配置 —— VSCode 十六进制编辑器插件 — Hex Editor
0x01:Hex Editor 十六进制编辑器插件 — 插件简介🌟0x01:Hex Editor 十六进制编辑器插件 — 插件简介Hex Editor 是由 Microsoft 官方推出的一款专门适用于 VSCode 的 “十六进制编辑器” 插件,安装完该插件后,用户就能够通过 VSCode 查看或编辑图片等二进制文件的内部数据了:0x02:Hex Editor 十六进制编辑器插件 — 安装流程Hex Editor0x03:Hex Editor 十六进制编辑器插件 — 效果展示。
2025-05-23 06:00:00
1295
原创 [网安靶场] 蓝队应急响应靶场 —— 知攻善防实验室 · 靶场笔记合集
知攻善防实验室” 的应急响应靶场是以虚拟机镜像形式发布的实战演练环境,用户可以通过从官方网盘中下载后在本地通过 VMware 进行部署运行,模拟真实溯源环境。知攻善防实验室 —— Windows 应急响应靶机 — Web 2 —— 🚩 FTP入侵 + Tencent Files 溯源。知攻善防实验室 —— Windows 应急响应靶机 — Web 1 —— 🚩 pyinstaller 反编译为 py 文件。0x01:知攻善防应急响应靶场 —— 靶场初识。0x01:知攻善防应急响应靶场 —— 靶场初识。
2025-05-22 06:00:00
1132
原创 知攻善防实验室 | Windows 应急响应靶机 — Web 1
看来上一阶段我们推测失败,攻击者确实是爆破出了后台的一个管理员账户,且该账户拥有弱口令,直接进行的登录,那么我们要想继续溯源,要么去找我们亲爱的运维,要管理员账号密码(可惜我们没有运维),要么自己爆破,复现渗透流程。如上,可以看到,靶机上通过 EMLOG 搭建了一个个人的 Web 站点。攻击者上传了 WebShell 后肯定是要访问的,而这些访问记录就会被记录在 Web 日志中,所以接下来,我们只要去找哪个 IP 访问了 system.php,我们就知道,谁是攻击者了。肯定是先确定一个值呀,比如,用户名。
2025-05-22 06:00:00
1157
原创 Visual Studio Code | VSCode 环境配置 —— VSCode 配置 PHP 调试环境 — PHP Debug
0x01:PHP Debug 代码调试插件 — 插件简介🌟0x01:PHP Debug 代码调试插件 — 插件简介该工具基于 Xdebug 开发,允许开发者在 VSCode 中对 PHP 代码进行单步调试、查看变量值等,极大的提升了 PHP 的开发效率。0x02:PHP Debug 代码调试插件 — 安装流程0x0201:PHP Debug 插件安装PHP Debug0x0202:PhpStudy 开启 Xdebug 组件。
2025-05-21 06:00:00
996
原创 [PHP · 初窥门径] PHP 开发工具的安装 & 使用
该工具的一大核心优势就是其丰富的插件生态 —— 用户可以通过安装扩展(Extensions)轻松让自己的 VSCode 成为支持多种编程语言的开发工具(如 Python、JavaScript、PHP、Java 等)。除了 VSCode 外,PHP 开发者还经常使用的开发工具是一款叫 ”PhpStorm“ 的代码编辑器,但是由于目前我们编写的 PHP 代码都比较简单,也不会面临啥困难的调试方法,所以 VSCode 暂时够用,等到必须要使用 ”PhpStorm“ 的时候,笔者会将其的配置流程也加入到本文中。
2025-05-21 06:00:00
596
原创 Visual Studio Code | VSCode 环境配置 —— VSCode 配置 PHP 开发环境 — PHP Intelephense
当我们按住 Ctrl 键然后鼠标点击 “base64_encode()” 方法时,插件就会带我们跳转到该方法定义的位置:0x04:PHP Intelephense 编程辅助插件 — 参考资料vsCode 使用 PHP Intelephense插件实现查找定义、类搜索等功能-CSDN博客。
2025-05-20 06:00:00
951
原创 Visual Studio Code | VSCode 环境配置 —— VSCode 代码运行插件 — Code Runner
0x01:Code Runner 代码运行插件 — 插件简介🌟0x01:Code Runner 代码运行插件 — 插件简介Code Runner 是由 Jun Han(韩骏)编写的一款 VSCode 代码运行插件,该插件支持运行多种语言的代码片段或代码文件(基本覆盖完了):0x02:Code Runner 代码运行插件 — 安装流程0x03:Code Runner 代码运行插件 — 效果展示0x0301:Code Runner 插件安装前。
2025-05-20 06:00:00
1359
原创 Visual Studio Code | VSCode 工具安装 —— Windows 系统安装 VSCode
在前面的章节中,笔者简单介绍了一下 VSCode 这款工具的作用,简而言之,它就是一款全能的代码编辑器(文本编辑器)。那么本章,笔者将一步步教你,如何在 Windows 中安装 VSCode。那么至此,在 Windows 系统中安装 VSCode 的全流程就讲解完毕了。0x01:Windows 系统安装 VSCode — 资源获取。0x01:Windows 系统安装 VSCode — 资源获取。0x02:Windows 系统安装 VSCode — 详细流程。
2025-05-19 06:00:00
719
原创 Visual Studio Code | VSCode 基本配置 —— VSCode 语言汉化配置 — Chinese(Simplified)
安装 Chinese(Simplified)插件后固然可以让我们的 VSCode 显示简体中文,但有的崽崽有觉得不习惯,又想要切换回英文,或者其它语言模式,怎么办?VSCode 在安装完成后,默认是全英文展示的,如果有崽崽不习惯全英文,我们可以通过安装 Chinese(Simplified)插件对其进行汉化操作。当然,除了进行汉化外,我们还可以把显示的语言切换为其它各种语言,只需要安装对应的插件即可,这个我们在本文的最后也会讲解到。至此,VSCode 的多语言切换,我们也讲解完毕了。
2025-05-19 06:00:00
715
原创 [PHP · 初窥门径] PHP API 文档使用说明
对于一般开发者是这样的,但笔者是网安的,有些比赛中,是要求断网的,在断网情况下做代码审计,碰到函数不会了咋搞?怎么样是不是很方便,妈妈再也不用担心我编程时没网没参考啦,一份手册就够了,PHP 的官方手册写的真的很好,哪怕你不跟着笔者的笔记学习,跟着它的目录学习一遍,相信你也会成为 PHP 高手,且由于是官方出品的,那必定是精品中的精品。首先需要说明,PHP 是有在线文档的,地址笔者放在了文章最顶上,不过访问过去式英文的,读者可以安装几个翻译插件,然后再看看。0x03:PHP API 文档的使用。
2025-05-18 06:00:00
542
原创 [网安工具] 代码编辑工具 —— Visual Studio Code · 使用手册
该工具的一大核心优势就是其丰富的插件生态 —— 用户可以通过安装扩展(Extensions)轻松让自己的 VSCode 成为支持多种编程语言的开发工具(如 Python、JavaScript、PHP、Java 等)。其凭借轻量级的设计、高度的可扩展性和强大的功能,迅速成为了开发者社区中广受欢迎的一款工具。得益于活跃的开发者社区和维护者的持续迭代更新,VSCode 始终保持着技术前沿性,成为现代开发者的 “全能型” 工具选择。0x01:Visual Studio Code 工具简介。想了解其它网安工具?
2025-05-18 06:00:00
1047
原创 [权限提升] Windows 提权 & 维持 — 系统错误配置提权 - 注册表键 AlwaysInstall 提权
0x01:注册表键 AlwaysInstall 提权原理想系统化学习内网渗透?0x01:注册表键 AlwaysInstall 提权原理AlwaysInstallElevated 是一个组策略设置,它允许用户以管理员权限安装 MSI 包。若启用此策略,那么任何权限的用户都将能够以 NT AUTHORITY\SYSTEM 权限来安装恶意的 MSI(Microsoft WIndows Installer)文件。0x02:注册表键 AlwaysInstall 提权环境配置。
2025-05-17 06:00:00
159
原创 [PHP · 初窥门径] 第一个 PHP 程序 — HelloWorld.php
当有用户访问这个 PHP 文件时,Apache 会调用 PHP 解析器解析 PHP 文件中的内容,并将解析后的内容返回给用户浏览器,用户浏览器接收到服务端发来的内容,解析,并渲染,就成了我们的网页。而且程序的后缀也不是一成不变的,只是我们喜欢这么约定俗成而已,这些都是可以通过自己的配置更改的,这就是人造学科的魅力,可以说,计算机就是建立在约定上的一门学科(网络协议更是如此,啥 HTTP,都是人与人之间的约定计算机化了而已)。此节就是我们最常用的了,即用 PHP 语言编写 Web 文件,并用客户端访问。
2025-05-17 06:00:00
926
原创 [网安靶场] 红队综合渗透靶场 —— VulnHub · 靶场笔记合集
VulnHub 平台目前由 Kali Linux 的开发团队 Offsec 维护,内部拥有超过 600 个镜像,且所有资源免费下载,帮助用户在合法环境中模拟真实攻击链,提升实战能力。VulnHub 是一个专注于网络安全实战训练的靶场平台,平台内提供了大量预置漏洞的虚拟机镜像,供安全爱好者学习渗透测试技术。VulnHub —— Breach : 1 —— 🚩 Tomcat 后台入侵 + 数据库信息收集 + Sudo & 定时任务提权。0x01:VulnHub —— 靶场初识。
2025-05-16 06:00:00
579
原创 VulnHub | Breach - 1
0x01:Breach - 1 靶场描述0x01:Breach - 1 靶场描述0x0101:靶场简介"Breach 1.0" 是一个适合新手到中级玩家的 boot2root/CTF 挑战。它要求参与者进行扎实的信息收集和坚持不懈的探索。该靶场的关键信息如下(好像没有目标嘿):目标 VM 的静态 IP 地址是 192.168.110.140,需要将主机的仅主机适配器配置到该子网。该靶场是该系列的第一个挑战,旨在提高参与者的渗透测试技能。如果遇到问题,可以联系发布者,其 Twitter 账号为。
2025-05-16 06:00:00
1234
原创 PhpStudy | PhpStudy 工具安装 —— Kali Linux 系统安装 PhpStudy
在 Linux 操作系统中安装 PhpStudy,首先需要确定你当前使用的系统是否满足目标软件系统的最低运行要求,以及确定你当前的操作系统型号,是否在其支持的类型之列。在前面的章节中,笔者简单介绍了一下 PhpStudy 这款工具的作用,简而言之,它就是一个 PHP 环境快速搭建工具。那么本章,笔者将一步步教你,如何在 Kali Linux 中安装 PhpStudy。第一次进入小皮面板,它会提示你安装网站运行的基础套件,这里选择推荐的即可,后面还可以自由搭配。小皮面板的系统初始密码太难记了,这里我修改为。
2025-05-15 06:00:00
1139
3
原创 PhpStudy | PhpStudy 环境配置 —— PhpStudy 目录结构 & 环境变量配置 · Windows 篇
在前面的章节中,笔者详细介绍了如何在 Windows 和 Linux 系统中安装 PhpStudy,但可能会有崽崽在安装完成后发现依旧无法使用诸如 php 或 mysql 这种命令,那么本章笔者就来解决一下这个遗留的问题。至于为啥添加这个目录,如果你好好看过笔者提供的参考文章,你铁明白的,所以笔者这里就不说啦。在上一节中,笔者简单介绍了 PhpStudy 的目录结构与每个目录中存放的内容,本节笔者将教你如何配置 php & mysql 这两个命令的使用。首先是 php 命令的环境配置,当你在命令行中输入。
2025-05-15 06:00:00
1311
原创 PhpStudy | PhpStudy 工具安装 —— Windows 系统安装 PhpStudy
在前面的章节中,笔者简单介绍了一下 PhpStudy 这款工具的作用,简而言之,它就是一个 PHP 环境快速搭建工具。那么本章,笔者将一步步教你,如何在 Windows 中安装 PhpStudy。双击 PhpStudy 安装包,即可进入安装页面,在这里,我们需要设置 PhpStudy 的安装目录,并且确保目录中不存在中文或空格(这里笔者选择安装在。0x01:Windows 安装 PhpStudy — 资源获取。0x01:Windows 安装 PhpStudy — 资源获取。想了解其它网安工具?
2025-05-14 06:00:00
1833
原创 [PHP · 初窥门径] PHP 环境配置
其实上面那个 PHP 环境你配不配置都无所谓,你想哈,你后面是用 PhpStudy 搭建 PHP 站点,你会先访问 PhpStudy 的 Apache 服务,然后 Apache 服务将你访问的页面的 PHP 代码用 PHP 解释器进行解释,然后返回。PhpStudy 还内置了软件商店,用户能够通过简单的点击就安装对应的软件,并且其还支持外部软件的管理,比如,用户可以下载适合自己的 PHP 版本,并交由 PhpStudy 进行管理。如果你也能显示上面的内容,那么恭喜你,PHP 环境搭建成功。
2025-05-14 06:00:00
536
原创 [PHP · 初窥门径] PHP 语言初识
0x01:PHP · 编程语言简介想系统化学习 PHP 编程?0x01:PHP · 编程语言简介PHP(Hypertext Preprocessor,超文本预处理器)是一种广泛使用的开源脚本语言,尤其,当然,也适用于命令脚本编写。在互联网发展初期,网站的动态性需求逐渐增加,早期的静态 HTML 页面难以满足网站与用户之间复杂的交互的需求,比如用户注册登录、动态数据展示等,所以需要一种能够快速生成动态网页内容的语言。
2025-05-13 06:00:00
1104
原创 [网安工具] Web 模糊测试工具 —— WFuzz · 使用手册
0x01:WFuzz 工具简介想了解其它网安工具?0x01:WFuzz 工具简介WFuzz 是一款专为 Web 应用安全测试设计的开源工具,其核心功能是它通过自动生成大量变异请求,向目标 Web 应用的特定输入点(如 URL 参数、HTTP 头、表单字段等)发送测试载荷(Payload),以探测潜在的漏洞或隐藏内容。支持自定义 Payload(字典)、多位置注入、过滤响应结果。可用于目录/文件枚举、参数爆破、漏洞探测(如 SQL 注入、XSS)。提供多种格式(文本、JSON、HTML)的测试结果分析。
2025-05-12 06:00:00
1286
原创 [Web 安全] Web 资产梳理 —— 指纹识别技术 — 站点指纹识别
用户可以使用自定义的字典文件进行漏洞扫描和字典攻击,以满足特定目标的检测需求,提高工具的灵活性和适用性。该工具是基于 Python 的,是一款命令行工具,上手非常 Easy,其使用后的结果展示如下:0x0305:Web 站点指纹识别工具 — 御剑指纹扫描器。
2025-05-12 06:00:00
1487
AWVS14.5.211115146+破解.zip
2025-08-02
exe2msi.zip
2025-05-15
wfuzz-3.1.0.zip
2025-05-09
内网横向 — 为远程计算机创建服务的条件
2025-03-13
内网横向 — IPC$ & Ping 的化学反应
2025-03-12
TA创建的收藏夹 TA关注的收藏夹
TA关注的人