- 博客(48)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 如何通过burp+Proxifier进行小程序抓包
本文由泷羽Sec-风公众号原创,旨在为初学者提供技术交流与学习的参考,助力技术水平提升。文章中提及的网站内容仅供学习探讨之用,与作者无关。读者需严格遵守法律法规,严禁将本文内容用于任何违法活动,否则一切后果由行为人自行承担。。
2025-01-19 12:15:00
524
原创 通过“Typora + PicGo + 腾讯云” 组合方法解决发布图片显示失效的问题
最近使用markdown编写文章时总会遇到明明已经添加了图片,在分享到发表平台如公众号等时图片只剩下路径却不显示的问题,然后需要自己再次手动一张张图片重新添加,这对于我们创作内容或者记录笔记来说,无异于增加了重复工作量。在通过网上查找解决方法+自我摸索之后,得出了这么一套“Typora+PicGo+腾讯云”组合方法可以解决图片发布失效的问题,“Typora“和”PicGo“的下载链接已放至文末。
2025-01-19 12:00:00
1046
原创 本地部署排版神器markdown-nice
本文由泷羽Sec-风公众号原创,旨在为初学者提供技术交流与学习的参考,助力技术水平提升。文章中提及的网站内容仅供学习探讨之用,与作者无关。读者需严格遵守法律法规,严禁将本文内容用于任何违法活动,否则一切后果由行为人自行承担。
2025-01-18 17:24:34
1163
原创 排版神器之markdown-nice
MarkdownNice是一款支持自定义样式的Markdown编辑器,它能够满足创作者在不同平台上的排版需求,支持微信公众号、知乎和稀土掘金等平台。总的来说,MarkdownNice对于创作者来说是一款非常友好的工具。它能够解决创作者在文章排版方面的诸多烦恼,满足至少90%的排版需求,让文章在不同平台上都能呈现出美观、专业的效果。
2025-01-18 17:20:59
1040
原创 pikachu - Cross-Site Scripting(XSS)
XSS(跨站脚本)概述Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射型XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
2025-01-09 20:00:00
780
原创 pikachu - CSRF
CSRF(跨站请求伪造)概述Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。这里列举一个场景解释一下,希望能够帮助你理解。
2025-01-09 20:00:00
716
原创 pikachu - 暴力破解
对于暴力破解而言,我们需要准备好字典。什么是字典?对于从事网络安全的人员来说,字典就是包含常用字词、短语和数字组合的列表。它不会像新华字典那样为你详细的解释字词的含义,但是它包含了常见的或不常见的(通常为根据某人、某事、某地特别制定的)一些字词、短语或者数字的组合或非组合(全为数字或者全为字词等)。字典被尝试用来匹配目标的账号及口令,来完成自己的目的。
2025-01-04 23:36:40
1163
原创 验证码识别插件 - captcha-killer
在这里可以选择对密码和验证码进行标记,并把攻击类型选择为交叉(由于对账号、密码、验证码都加上标记,然后用集束炸弹验证的话,效率非常之低,不便于演示,所以这里我仅对密码和验证码进行标记,并使用交叉模式)将数据包发送至插件后,我们还需要在插件选择模板,比如我搭建的pikachu靶场,其验证码为小写字母+数字的组合,那么我们在模板这里选择一下字母+数字。首先右键验证码-在新标签页中打开图片,然后开启burp的抓包功能,并刷新打开的验证码标签页,burp对其自动抓包,而后我们将该包发送至插件。
2025-01-04 22:26:27
1001
原创 应急响应-Linux2
**前景需要**:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!**虚拟机登陆**账号:root密码:Inch@957821.
2024-12-31 00:21:58
911
原创 应急响应-近源攻击-OS1
**前景需要**:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。**相关账户密码:**Administrator zgsf@2024## 应急开始首先我们需要了解,近源攻击到底是什么意思。近源攻击是一种网络安全威胁,指的是攻击者在物理上接近目标系统或网络来实施攻击。这种攻击方式可以通过直接连接到目标设备或网络,或者通过接入目标设备附近的无线网络来实施
2024-12-31 00:09:46
749
原创 shell编程(完结)
### 1、不同脚本的互相调用先给1.sh写入以下代码```test#/bin/bashsource 2.shecho "My name is $name,and i am $age years old."```再为2.sh写入以下代码```testname="fengyijiu"age=18```然后执行1.sh,就会输出
2024-12-12 23:56:56
2459
2
原创 shell编程(8) until循环以及函数基本创建调用
### until循环```testi=o # 初始化变量i的值为0,可以根据需要修改这个初始值until [ ! $i -lt 10 ]do echo $i ((i++))done# bash until.sh 执行命令,注意这里需要用到bash来执行,用sh执行会报错```#### case语句```testread -p "请您输入一个数值:" num # 获得键盘输入的一个值并赋值给变量numcase $num in # 获取num的值,并由该值来选择对应的分支
2024-12-12 23:53:05
343
原创 shell(7)for循环与while循环
* **关键字与标点符号**:要严格按照 `for` 循环的语法格式编写代码,确保每个关键字(如 `for`、`in`、`do`、`done`)都正确使用,并且语句以正确的分号或换行符结束。例如:`for i in 1 2 3; do echo $i; done` 是正确的格式12.* **空格的使用**:在 `for` 语句中,`for`、`in` 等关键字与变量名、列表元素之间需要用空格分隔,否则会导致语法错误 。##### 循环变量与列表* **变量名冲突**:注意避免循环
2024-12-11 17:25:37
1000
原创 应急响应-Linux1
**前景需要**:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!**挑战内容**: 黑客的IP地址 遗留下的三个flag**注意**: 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。**虚拟机登陆**账号:defend密码:defend**解题**:运行桌面上的解题脚本即可
2024-12-11 17:24:00
401
原创 shell(6)if条件判断与for循环结构
## 声明!**学习视频来自B站up主** **`泷羽sec`** **有兴趣的师傅可以关注一下,如涉及侵权马上删除文章****笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!****有兴趣的小伙伴可以点击下面连接进入b站主页****[B站泷羽sec](https://space.bilibili.com/350329294)**
2024-12-10 21:34:33
233
原创 应急响应-挖矿事件
## 声明!**学习靶机来自****知攻善防实验室****公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章****笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!**
2024-12-10 17:41:15
975
原创 shell(5)字符串运算符和逻辑运算符
声明!学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页**B站泷羽sec**
2024-12-09 22:10:12
268
原创 应急响应-web3
## 声明!**学习靶机来自****知攻善防实验室****公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章****笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!**
2024-12-09 21:16:14
1334
原创 应急响应-web2
**学习靶机来自****知攻善防实验室****公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章****笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!**
2024-12-03 22:49:11
1045
原创 shell编程(4)脚本与用户交互以及if条件判断
利用read命令来接收用户的输入,输入read name age,敲击回车后窗口会停顿等待接收输入,我们填写feng 18并敲击回车,此时变量name便会被赋值feng,变量age会被赋值18然后我们利用echo $name来打印变量name的值利用echo $age来打印变量age的值
2024-12-03 00:03:29
941
原创 应急响应-web1
学习靶机来自知攻善防实验室公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!
2024-12-02 19:55:49
644
原创 蓝队基础之网络七层杀伤链
在网络安全领域,“蓝队“(Blue Team)是指负责保护组织网络安全的团队。该团队通常由内部 IT 专业人员组成,他们对公司的基础设施、系统和网络有深入的了解。这些专业人员不断致力于加强组织的数字防御并减轻可能被恶意实体利用的任何可能的弱点。 而“红队”(Red Team)在组织内扮演对抗性角色。该团队使用真实攻击者可能使用的工具、策略和程序的组合来模拟潜在的攻击者。他们的主要目标是揭示组织数字基础设施中的漏洞,这些漏洞可能被实际的网络犯罪分子利用。 对于红队来说,了解蓝队的人员构成、管理构成等方
2024-11-16 15:32:53
1357
原创 Linux基础2(病毒编写)
bin 二进制可执行命令/etc 系统管理和配置文件/etc/rc.d 启动的配置文件和脚本/home 用户主目录的基点/lib 标准程序设计库,又叫动态链接共享库/sbin 超级管理命令,这里存放的是系统管理员使用的管理程序/tmp 公共的临时文件存储点/root 系统管理员的主目录/mnt 系统提供这个目录是让用户临时挂载的文件系统/lost+found 这个目录平时是空的,系统非正常关机而留下“无家可归”的文件就在这里面。
2024-11-14 22:47:02
379
原创 Windows基础2(病毒编写)
可以查看一些比较重要的信息,例如补丁的信息。所以上边我的1.txt和2.txt都是文本文件,不涉及二进制数据,这样的情况下不带/b的copy命令才能够成功,那么我们看一下使用不带含有/b的copy命令将含有二进制数据的文件结合会是怎样的。与copy不同的是,copy是复制,使用copy命令除了目的路径会生成文件外,源路径的文件并不会消失,而move是移动,源路径的文件消失,转移到目的路径上。
2024-11-05 00:45:18
761
原创 Windows基础1笔记
输入c : >set命令将当前命令行下的环境变量列出,如set pycharm可列出环境变量中以pycharm开头的变量,注意这里必须是以pycharm为开头的变量名,如pycharm_vi、pycharm等,若是变量名为qpycharm则无法列出。setx 命令的基本语法是 setx 变量名 值,如想要设置一个名为 MY_VAR 的环境变量,其值为 my_value,可以输入setx MY_VAR my_value进行设置,若是MY_VAR变量名已存在,则更新它的值(my_value)
2024-10-31 22:45:04
678
原创 信息收集笔记
工商数据可以帮助测试人员更好地了解目标公司的信息,以便收敛测试的目标范围。例如,可以通过工商数据获取公司的控股子公司、经营业务、对外发布的产品等信息这些信息可以帮助我们更准确地识别出目标公司的网络资产,以便对其进行更有效漏洞挖掘获取控股子公司名称,收集边缘子公司资产获取备案根域名获取其他互联网资产。
2024-10-24 00:21:38
1715
原创 安全见闻8
研究目标量子系统的技术架构,包括所使用的量子设备类型(如量子计算机的型号、量子通信设备的技术标准等)、系统的拓扑结构、与传统网络的连接方式等。分析可能对量子系统构成威胁的主体,包括外部的黑客组织、竞争对手、恶意研究人员、内部的系统管理员、研发人员等可能存在的误操作或恶意行为。尝试窃取量子系统中的敏感数据,如量子密钥、实验数据、用户信息等,并对窃取的数据进行分析,以获取更多的信息和潜在的漏洞。将渗透测试过程中发现的漏洞、攻击路径、获取的信息等进行整理和分析,总结出量子系统存在的安全问题和潜在的风险。
2024-10-23 23:15:02
715
原创 春秋云镜CVE-2022-25411
春秋云镜CVE-2022-25411,通过搜索引擎得到上传文件路径/admin/files,将cookie修改为正确口令得到的cookie,发现能成功进入上传页面。如果出现404,就是数据包中缺失index.php路径,自行添加即可。思路是对的,但是admin/admin888依然返回302,将口令带入重放器中尝试。通过搜索引擎,得到/admin/options为登录页面,尝试进入登录页面。尝试上传图片,上传成功。
2023-05-16 17:18:54
523
1
空空如也
AES选择了一个有逆元的固定多样式a(x),那么它的逆元a-1(x)是怎么算出来的?
2021-12-23
TA创建的收藏夹 TA关注的收藏夹
TA关注的人