- 博客(69)
- 收藏
- 关注
RSS订阅
原创 java 图形化界面
框架Frame框架Frame可以作为Java的顶级窗口来使用。Frame是AWT中Window的一个子类,是带有标题和缩放角的窗口,是属于重量级组件。Frame可以设置自己的标题、边框、菜单、大小等等。默认的Frame实例化对象都是没有大小和不可见的,必须调用setSize( )来设置大小,调用setVisible(true)来设置该窗口为可见的。
2022-11-15 20:36:13
22001
4
原创 web架构安全分析
web工作机制网页、网站我么可通过浏览器上网看到精美的页面,一般都是经过浏览器渲染的.html 页面,其中包含css 等前端技术。多个网页的集合就是网站。Web容器Web 容器,也叫Web 服务器,主要提供Web 服务,也就是常说的HTTP 服务。常见的Web 容器有:Apache/IIS/Nginx 等。静态页面静态页面,都是些.html 文件,是纯文本文件。这些文件中包含html 代码。中间件服务器以上这种,只能单向给用户战术信息。随着Web 的发展,信息要双向流..
2021-12-20 23:48:15
4306
1
原创 sqllab 1-6 练习
前言什么是sql注入?攻击者通过构造不同的sql语句来实现对数据库的操作两个关键 :参数用户可控 参数带入数据库查询基本流程判断注入点判断字段数判断回显点查询相关内容 判断库名----> 判断表明---->判断列名----->判断数据搭建复制文件到 D:\phpstudy_pro\WWW创建网站 设置根目录为该文件 注意 php版本需要为 5.4.45至此 搭建完成less-1 GET - Error based - Sin...
2021-11-05 11:45:47
2737
原创 【护网行动-红蓝攻防】第二章-红队攻击的4个阶段
网情收集是指围绕攻击目标系统的网络架构、it资产、敏感信息、组织管理与供应商等方面进行的情报收集。目的在于帮助蓝队在攻击过程中快速定位薄弱点和采取正确的攻击路径,并为后两个阶段的工作提供针对性的建议,从而提高攻击效率和渗透成功率。红队在对一个目标网络实施攻击的时候,首先就是寻找目标系统互联网侧薄弱点,然后利用这些薄弱点突破外网,进入目标网络内网。由外网突破进入内网的过程一般称为“纵向突破”。
2025-02-20 16:58:55
708
原创 【护网行动-红蓝攻防】第一章-红蓝对抗基础 认识红蓝紫
军事上的演练,是除了实战以外最能检验军队战斗力的一种考核方式,他可以模拟面对外部势力的攻击时候,如何更好的去维护国家和主权的安全。同样的,在网络上面,真实环境下的网络攻防演练也是检验一个单位,企业网络防御能力,发现潜在危险最好的方法。1.政策要求2安全威胁驱动当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网站平台大规模数据泄露事件频发,生产业务系统安全隐患突出,甚至有的系统长期被控面对高级持续性的网络攻击,防护能力十分欠缺。目前,我国面临的网络安全威胁主要有以下几点。
2025-02-20 16:58:49
1181
原创 hackme靶机渗透流程
查看表 -1' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking'#先确定mac信息,再搭配主机扫描确定靶机的IP地址。依据上面上传phpinfo的步骤,上传一句话木马。第三个为一个上传页面(没找到上传按钮)登录后发现有搜索框 尝试sql注入。上传后回到该页面 尝试访问。连接成功 拿到shell。查看user表中的数据。尝试上传phpinfo。
2024-10-25 22:20:08
330
原创 【web安全】——常见框架漏洞
详细介绍了web框架中的常见漏洞,如thinkphp,struts2,shiro,spring,log4j2,fastjson反序列化
2024-10-06 20:48:47
2071
1
原创 【web安全】——逻辑漏洞
逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或代码问题或固有不足,进行漏洞利用的一个方式。
2024-10-05 20:12:36
1571
2
原创 【web安全】——SSRF服务器端请求伪造
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
2024-10-05 16:22:59
1352
原创 【web安全】——CSRF跨站请求伪造
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。
2024-10-05 11:16:54
1425
原创 【web安全】——命令执行漏洞/代码执行漏洞
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数,并且开发人员对这个参数没有严格的过滤时就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。PHP:exec、shell、system、popen等。
2024-10-04 17:07:02
1150
原创 【web安全】——文件包含漏洞
什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。
2024-10-03 20:59:16
1592
原创 【web安全】——文件上传漏洞
文件上传漏洞是发生在有上传功能的应用中,如果应用程序对用户上传的文件没有控制或者存在缺陷,攻击者可以利用应用上传功能存在的缺陷,上传木马、病毒等有危害的文件到服务器上面,控制服务器。webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马,
2024-10-03 16:55:50
2347
原创 【web安全】——XXE漏洞
XML被称为可扩展标记语言,与HTML类似,但是HTML中的标签都是预定义(预先定义好每个标签的作用)的,而XML语言中的标签都是自定义(可以自己定义标签的名称、属性、值、作用)的;HTML中的标签可以是单标签,而XML中的标签必须是成对出现。
2024-10-02 21:28:55
1409
原创 【web安全】——XSS漏洞
DOM被称为文档对象模型,是一个平台和语言的接口,使得程序和脚本可以动态访问和更新文档的内容、结构和样式。DOM本身是一个表达XML文档的标准,HTML文档从浏览器的角度来说就是XML文档,有了这些技术之后,就可以通过js轻松访问到他们。DOM会将XML文件的节点构建成树状结构,以此反应XML文件本身的阶层结构。
2024-10-02 17:07:13
1886
原创 【web安全】——信息收集
Nmap支持十多种不同的主机探测方式,比如发送ICMP 的 ECHO/TIMESTAMP/NETMASK报文、发送TCP的SYN/ACK包、发送SCTP的INIT/COOKIE-ECHO包,用户可以在不同的条件下灵活选用不同的方式来探测目标机。使用cdn需要花费额外的成本,不可能给所有网站全部配置cdn,总有子域名是直接指向源站的,这个源站ip和哪些使用cdn的网站,大概率是同一个网段,大公司买服务器都是一批一批的买,配对的公网ip一般都是一段一段的买,可能是一个C段,或者一个B段等等。
2024-09-28 22:09:26
2002
1
原创 【web安全】——sql注入
在mysql5版本以后,为了方便管理,默认定义了information_schema数据库,用来存储数据库元数据信息。schemata(数据库名)、tables(表名tableschema)、columns(列名或字段名)。
2024-09-27 22:33:04
1694
1
原创 Linux实用操作
ctrl+c强制停止Linux某些程序的运行,如果想要强制停止它,可以使用快捷键ctrl+c命令输入错误,也可以通过快捷键ctrl+c,退出当前输入,重新输入ctrl+d退出或登出可以通过快捷键:ctrl+d,退出账户的登录或者退出某些特定程序的专属页面可以通过history命令,查看历史输入过的命令可以通过快捷键:ctrl+r,输入内容去匹配历史命令如果搜索到的内容是你需要的,那么:回车键可以直接执行键盘左右键,可以得到此命令(不执行)
2024-03-27 19:31:20
914
1
原创 Linux用户和权限
chown root:itheima hello.txt,将hello.txt所属用户修改为root,用户组修改为itheimachown -Rroot test,将文件夹test的所属用户修改为root并对文件夹内全部内容应用同样规则。选项:-g指定用户的组,不指定-g,会创建同名组并自动加入,指定-g需要组已经存在,如已存在同名组,必须使用-8。·选项:-r,删除用户的HOME目录,不使用-r,删除用户时,HOME目录保留。su命令就是用于账户切换的系统命令,其来源英文单词:Switch User。
2024-03-24 19:37:36
2163
原创 su:鉴定故障 解决办法
在Linux中,使用 su - root 命令时候,输入密码后,出现su:鉴定故障。系统时没有给root用户设置密码,重新设置密码即可。解决办法:设置,更新密码即可。
2024-03-24 16:47:02
4332
原创 Linux基础命令
Linux的目录结构是一个树型结构Windows 系统可以拥有多个盘符,如C盘、D盘、E盘Linux没有盘符这个概念,只有一个根目录 / 所有文件都在它下面。
2024-03-20 19:27:14
1186
2
原创 Win11配置WSL(Ubuntu)环境
WSL:Windows Subsystem for Linux,是用于Windows系统之上的Linux子系统。作用很简单,可以在Windows系统中获得Linux系统环境,并完全直连计算机硬件,无需通过虚拟机虚拟硬件。控制面板——>程序——>启用或关闭Windows功能——>勾选适用于linux的Windows子系统。接着,在Windows自带的软件商店里面,搜索ubuntu。WSL是Windows10自带功能,需要开启,无需下载。Windows10的WSL功能,可以无需单独虚拟一。
2024-03-20 16:28:17
1106
原创 FinalShell连接Linux
我们使用VMware可以得到Linux虚拟机,但是在/Mware中操作Linux的命令行页面不太方便,主要是:内容的复制、粘贴跨越VMware不方便文件的上传、下载跨越VMware不方便不方便也就是和Linux系统的各类交互,跨越VMwar到Linux操作系统之上。我们可以通过第三方软件,FinalShell,远程连接并通过FinalShell去操作Linux系统。
2024-02-27 19:47:52
927
原创 Linux零基础快速入门
因为创始人在上大学期间经常需要浏览新闻和处理邮件,发现现有的操作系统不好用,于是他决心自己写一个保护模式下的操作系统,这就是Linux的原型,当时他21岁,后来经过全世界网友的支持,现在能够兼容多种硬件,成为最为流行的服务器操作系统之一。Linux内核是免费开源的,任何人都可以下载内核源码并查看且修改。,可以理解为出厂自带程序,可供用户快速上手操作系统,如:文件管理器、任务管理器、图片查看、音乐播放等。:调度CPU、调度内存、调度文件系统、调度网络通讯、调度IO等。Linux创始人:林纳斯 托瓦兹。
2024-02-27 19:47:03
1469
原创 finalshell连接虚拟机失败解决方法
如果没有这两个虚拟网卡,那就没办法实现linux系统与主机互ping,此时可打开vmware软件选项 编辑-> 虚拟网络编辑器,查看”主机连接“是否显示已连接,这种情况下应该是显示“ - ”的。点开网络适配器后发现,自己的电脑没有网络适配器vmnet1和vmnet8。点击更改配置,勾选“将主机虚拟器连接到此网络”并点击确定。2.与vmware中的虚拟网络对比,看是否在同一网段。作者的情况在同一网段也不能ping通虚拟机。若不在同一网段,修改虚拟机的ip地址。出现后,再去连接,连接成功。
2024-02-27 19:36:34
4381
4
原创 cheat engine扫雷逆向实验报告(棋盘,雷数,笑脸,计时器)
思路:要找到棋盘内存地址,则需要找到第一格和最后一格的地址,即知道该棋盘,在内存上的地址。通过编写程序的经验,对于这类只有三四个选项的变量时,往往会编写一个变量,每个值代表一个选项,而且根据经验而谈,这类flag值一般都设为个位数,即0,1,2,3…2.开始不断重开游戏,每次去点击第一格的地址,观察是否有变化(有空白,雷,数字三种形态),根据变动的值/未变动的值去不断扫描,直到找见该内存地址。初级:先点击最后一格格子,进行未知初始值扫描,然后不断重开游戏,观察值是否变动去扫描,最后得到该格子的基址。
2023-12-27 15:27:18
1553
原创 Unity 三维场景的搭建 软件构造实验报告
(2)实现漫游功能,可以在场景中键盘控制前后左右移动,鼠标控制旋转,完成基本的场景漫游功能。(1)使用Unity的基本建模功能设置一些三维场景(自行发挥想象,进行建模设计)这里我使用的是另一种方法,可以去素材商城中添加一下免费的素材,可以方便搭建场景。(8)打包,生成可执行文件,要求可执行文件脱离Unity环境后,能够自行运行。(5)设置触发器,当漫游相机进到入触发器中时,执行动画的播放。(4)制作内部动画,配合鼠标点击,实现播放动画。(6)添加背景音乐和鼠标点击的音效(自行设计)
2023-11-22 17:16:10
2826
原创 Unity UI设计 软件构造实验报告
(1)熟悉Unity中UI界面的设计与编写;(2)熟悉UI界面中场景转换,UI与场景内容相互关联的方式。(3)熟悉Unity中MySQL数据库的操作新建一个Unity场景,在此场景中实现如下功能:(1)自行设计一个登录、注册UI界面;(2)添加数据库的动态链接库文件,提前设计数据库表格(自行设计);(3)连接数据库,实现增、删、改、查等数据库对用户的操作;(4)UI界面中包括canvas、Image、RawImage、Button等多种UI元素;
2023-11-22 16:48:41
3362
1
原创 信息安全概论期末U+
5.网络威胁发展的特点趋势( 趋利性,隐蔽性,受害对象重心由原来的服务器转向个人电脑,网络犯罪与传统犯罪相结合,由单兵作战转向合作式带有“商业”性质的“产业链”模式网络犯罪)。11.以下关于公钥密码体制说法不正确的是(公钥密码体制中仅根据密码算法和加密密钥来确定解密密钥在计算上是可行的,公钥密码体制中的私钥不可以用来进行数字签名)。这种算法的密钥就是5,那么它属于(对称加密技术)。3.根据科克霍夫(Kerchoffs)假设,密码体制的安全性仅依赖于对(密钥 )的保密,而不应依赖于对密码算法的保密。
2023-11-09 15:25:55
2399
1
原创 pikachu靶场搭建及通关
下载工具:phpstudy下载后解压缩并放入如下文件夹(网站根目录)建议修改文件名称为 pikachu修改配置文件(mysql 用户名:root 密码:root 保存)强调一下:数据库密码默认为root,如果你修改了数据库密码,这里要跟着修改修改完保存,安装初始化界面点击安装/初始化,显示如下界面则安装完成。
2023-10-16 20:23:07
1131
原创 汇编语言基础
一个典型的CPU由运算器、控制器、寄存器等器件组成,这些器件靠内部总线相连。区别:内部总线实现CPU内部各个器件之间的联系。外部总线实现CPU和主板上其它器件的联系。
2023-10-15 21:18:49
715
1
原创 Javaweb笔记
C/S体系结构介绍C/S是Client/Server的缩写,即客户端/服务器结构。在这种结构中服务器通常朵用高性能的PC机或工作站,并采用大型数据库系统 (如Oracle或SQL Server) ,客户端则需要安装专用的客户端软件,如下图所示。这种结构可以充分利用两端硬件环境的优势,将任务合理分配到客户端和服务.从而降低了系统的通讯开销。在2000年以前,C/S结构占据网络程序开发领域的主流。B/S体系结构介绍B/S是Brower/Server的缩写,即浏览器/服务器结构。
2023-06-09 09:52:23
1756
原创 操作系统原理大题
首先,将134D转换为二进制数为 00010011010011011k为2的10次方 从后往前占十位为 000100|1101001101竖线前面的二进制转化为十进制是4,4块号对应的是1A,那么将竖线前的二进制换为1A的二进制数 011010 最后得到 0110101101001101 转换为16进制为 6B4D当页面大小为4k时,4k为2的12次方, 从后往前数12位 0001|001101001101。
2023-05-18 16:18:15
6285
1
原创 计网U+选择题知识点
1.Internet 网络本质上属于( 分组交换)网络。2.(网络层发送的是分组)3.在 OSI 参考模型中,自下而上第一个提供端到端服务的是(传输层 )。4.APRANET5.三类大家很熟悉的网络是(电信网络,有线电视网络,计算机网络)6.STP SMTP TELNET 属于应用层协议7.物理层涉及在通信信道上传输的原始比特流,定义了传输数据所需的机械、电气、功 能及规程等特性网络层决定数据在网络中的传输路径运输层的基本功能是建立、维护虚电路,进行差错校验和流量控制。
2023-05-12 11:25:36
1129
原创 算法分析与设计—分治法
分治法也称为分解法、分治策略等。分治法算法思想如下:(1) 将一个问题划分为同一类型的若干子问题,子问题最好规模相同。(2) 对这些子问题求解(一般使用递归方法,但在问题规模足够小时,有时也会利用另一个算法)。(3) 有必要的话,合并这些子问题的解,以得到原始问题的答案。当子问题足够大时,需要递归求解时,我们称之为递归情况(Recursive Case)。当子问题变得足够小,不再需要递归时,表示递归已经“触底”,进入了基本情况(Base Case)。递归式与分治方法紧密相关。
2023-04-16 21:05:43
577
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人