aichenkao9206-优快云博客

转载 python装饰器和函数传参

装饰器装饰器是一个返回函数的高阶函数。装饰器常见用法：打印日志def logger(func): def wrapper(*args, **kw): print 'do {}'.format(func.__name__) func(*args, **kw) print 'finish' return wrap...

2019-08-20 17:54:00 505

转载 Linux命令学习记录之du

文件管理du选项-a或-all 显示目录中个别文件的大小。-b或-bytes 显示目录或文件大小时，以byte为单位。-c或--total 除了显示个别目录或文件的大小外，同时也显示所有目录或文件的总和。-k或--kilobytes 以KB(1024bytes)为单位输出。-m或--megabytes 以MB为单位输出。-s或--summarize 仅显示总计，只列出最后...

2019-08-19 11:53:00 142

转载 python实用技巧

python一句话HTTP服务器python -m SimpleHTTPServer 8080python一句话FTP服务器sudo pip install pyftpdlibpython -m pyftpdlib -i ip -w -d /tmp/ -u root -P 123456 -p 21转载于:https://www.cnblogs.com/mark-zh/p/1...

2019-08-15 15:55:00 135

转载 Python Flask学习笔记之数据库

Flask中的数据库Flask本身不支持数据库，对使用的数据库插件自由选择。数据库被划分为两大类，遵循关系模型的一类是关系数据库，另外的则是非关系数据库，简称NoSQL，表现在它们不支持流行的关系查询语言SQL。使用Flask-SQLAlchemy管理数据库Flask-SQLAlchemy是一个Flask扩展，简化了在Flask程序中使用SQLAlchemy的操作。SQLAlch...

2019-08-02 18:00:00 175

转载 Python Flask学习笔记之Web表单

跨站请求伪造保护Flask-WTFFlask-WTF能保护所有表单免受跨站请求伪造的攻击。为了实现CSRF防护，Flask-WTF需要为程序配置一个密钥。Flask-WTF使用这个密钥生成加密令牌，再用令牌验证请求中表单数据的真伪。设置密钥使用类来存储配置变量，项目结构清晰，同时密钥保存在环境变量中，也增强了安全性。touch app/config.py# confi...

2019-07-31 16:45:00 163

转载必应每日壁纸批量下载

背景桌面壁纸好久没有更新，感到有些审美疲劳。必应每日推荐高质量壁纸，有好心人已经做成了专门的必应壁纸站，更新桌面壁纸，顺便练手爬虫小程序。分析第一步提取出全部图片的链接，单个页面正则提取后，加个翻页功能即可。第二步下载图片。提取图片链接单个页面def getPageImgUrl(url): headers = { 'use_agent' : 'Moz...

2019-07-05 17:35:00 270

转载 paramiko模块学习笔记

SSHClient基于用户名密码连接import paramiko# 创建SSH对象ssh = paramiko.SSHClient()# 允许连接不在know_hosts文件中的主机ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())# 连接服务器ssh.connect(hostname='',port=''...

2019-06-25 15:53:00 101

转载 SSH免密登录

0x01 SSH简单说，SSH是一种网络协议，用于计算机之间的加密登录。0x02 公匙登录用户认证的两种方式：1. 密码 2. 公钥每次输入密码登录非常麻烦，使用公钥登录可以省去输入密码的步骤。公钥登录原理：用户将自己的公钥储存在远程主机上。登录的时候，远程主机会向用户发送一段随机字符串，用户用自己的私钥加密后，再发回来。远程主机用事先储存的公钥进行解密，如果成功，就证明用户是...

2019-06-21 17:47:00 75

转载 Git学习笔记

Git学习笔记初步设置git config --global user.name "Your Name" //配置用户名git config --global user.email "email@example.com" //配置邮箱创建版本库mkdir BruteDemocd BruteDemopwdgit init //把这个目录变成Git可以管理的仓库...

2019-06-20 15:24:00 128

转载 Python执行系统命令的几种方法

一、os模块os.system在一个子终端运行系统命令，而不能获取命令执行后的返回信息，执行成功时返回值0>>> import os>>> os.system('whoami')markzhang0os.popen执行命令而且返回执行后的信息对象>>> me = os.popen('whoami')>>...

2019-05-15 17:05:00 248

转载 DNS: Internet’s Directory

关于DNS互联网上几乎一切活动都以DNS请求开始。DNS(Domain Name System)是Internet的目录。访问URL时，设备所要做的第一件事就是询问目录，根据域名查出IP地址。查询过程例如：访问www.baidu.com首先检查本机hosts文件向本地DNS服务器查找www.baidu.com的IP根DNS服务器查询告知本地DNS服务器去com域名服务器...

2019-03-28 15:03:00 133

转载 JSONP(JSON with Padding)

JSONP攻防实例解析前言纸上得来终觉浅，绝知此事要躬行。关于JSONPJsonp(JSON with Padding)是一种跨域请求资源的解决方案，JSONP可以绕过AJAX遵循的同源策略。菜鸟教程存在数据(["customername1","customername2"])，我们希望在本地展示，由于受同源策略的限制，AJAX无法调用该页面。代码如下：<!DOCTYP...

2019-03-07 18:07:00 451

转载浏览器同源策略

浏览器同源策略同源(Same Origin Policy, SOP)的定义如果两个页面的协议，端口（如果有指定）和域名都相同，则两个页面具有相同的源。下表给出了相对http://store.company.com/dir/page.html同源检测的示例:URL结果原因http://store.company.com/dir2/other.html成功...

2019-03-06 16:54:00 89

转载渗透的本质是信息收集(持续更新中)

渗透的本质是信息收集(持续更新中)简介信息收集分为主动信息搜集和被动信息搜集。主动信息收集(与目标进行直接交互)被动信息收集(不与目标进行直接交互)whois站长工具http://whois.chinaz.com/子域名目标IP绕过CDN找真实IPnslookup国外冷门DNS209.244.0.364.6.64.68.8.8.89.9.9.9...

2019-03-05 16:27:00 204

转载跨域资源共享(CROS)

跨域资源共享(CROS)同源策略(Same Origin Policy, SOP)同源策略允许运行在页面的脚本可以无限制的访问同一个网站（同源）中其他脚本的任何方法和属性。当不同网站页面（非同源）的脚本试图去互相访问的时候，大多数的方法和属性都是被禁止的。同源协议域名端口号只要以上三个值是相同的，我们就认为这两个资源是同源的。跨域资源共享(CROS)简介CORS通...

2019-03-04 17:49:00 155

转载 Python Flask学习笔记之模板

Python Flask学习笔记之模板Jinja2模板引擎默认情况下，Flask在程序文件夹中的templates子文件夹中寻找模板。Flask提供的render_template函数把Jinja2模板引擎集成到了程序中。渲染模板创建文件夹mkdir app/templates改写代码# routes.pyfrom flask import render_templat...

2019-02-28 17:37:00 166

转载 Python Flask学习笔记之Hello World

Python Flask学习笔记之Hello World安装virtualenv，配置Flask开发环境virtualenv虚拟环境是Python解释器的一个私有副本，在这个环境中可以安装私有包，而且不会影响系统中安装到全局Python解释器。虚拟环境非常有用，可以在系统的Python解释器中避免包的混乱和版本的冲突，为每个程序单独创建虚拟环境，可以保证程序只能访问虚拟环境中的包从...

2019-02-22 16:25:00 573

转载 The Python Challenge 0-4

The Python Challenge 0-4项目地址：http://www.pythonchallenge.com/Level-0提示Hint: try to change the URL address.，修改0.html为1.html，提示2**38 is much much larger.，打开python控制台，计算后替换1.html为274877906944.html...

2019-02-18 16:33:00 93

转载甲方安全建设之office365邮箱弱口令检测

甲方安全建设之office365邮箱弱口令检测信息收集资产范围资产列表总数是521抓包后发现只有102一番测试之后发现控制Response的关键在于MaxEntriesReturned字段，修改后Response达到了期望的结果正则提取开源中国在线正则表达式工具python爆破脚本import smtplibimport osimport time# 获取当...

2019-02-11 17:30:00 566

转载 linux下设置计划任务执行python脚本

linux下设置计划任务执行python脚本简介crontab命令被用来提交和管理用户的需要周期性执行的任务，与windows下的计划任务类似，当安装完成操作系统后，默认会安装此服务工具，并且会自动启动crond进程，crond进程每分钟会定期检查是否有要执行的任务，如果有要执行的任务，则自动执行该任务。crontab语法crontab (选项)(参数)-e：编辑该用户的计时器...

2019-01-29 15:44:00 873

转载 python操作文件和目录

python操作文件和目录目录操作# 查看当前目录>>> os.path.abspath('.')'/Users/markzhang/Documents/python/security'# 查看当前目录>>> os.getcwd()'/Users/markzhang/Documents/python/security'# 更改当前的工作...

2019-01-25 16:24:00 71

转载 python信息收集之子域名

python信息收集之子域名主要是以下3种思路：字典爆破搜索引擎第三方网站0x00 背景知识listPython内置的一种数据类型是列表：list是一种有序的集合。>>> names = ['mark','sam','rachel']>>> names[0] //使用索引访问列表元素'mark'>>&gt...

2019-01-23 16:41:00 327

转载 Android逆向之smali

Android逆向之smali头信息smail文件前三行.class <访问权限> [关键修饰字] <类名>;.super <父类名>;.source <源文件名>.class指令表示当前的类名，类的访问权限是public，类名是Lcom/example/mark/myfirstapp/MainActivity，类开头的L是遵循...

2019-01-22 18:23:00 272

转载 Android开发之Activity

活动（Activity）活动是最容易吸引用户的地方，它是一种可以包含用户界面的组件，主要用于和用户交互。FirstActivity手动创建活动新建一个project，不再选择empty activity，选择add no activity，手动创建活动此时app/src/java/com.example.activity为空，右击新建empty activity，不要勾选ge...

2019-01-21 16:25:00 162

转载 ubuntu 报错解决记录

配置jdk报错vi /etc/profile ，添加如下代码export JAVA_HOME=/home/mark/android/jdk1.8export JRE_HOME=/home/mark/android/jdk1.8/jreexport PATH=/home/mark/android/jdk1.8/bin:$PATHexport CLASSPATH=.:/home/m...

2019-01-14 16:13:00 176

转载逻辑漏洞之密码找回总结

逻辑漏洞之密码找回总结0x00 脑图0x01 用户凭证暴力破解验证码的位数：4 or 6，有效时间：1min - 15min验证码爆破防护绕过纯数字字典生成脚本import itertools words = "0123456789"r = itertools.product(words, repeat=n)dic = open("", "a")for i in...

2018-12-03 19:13:00 206

aichenkao9206的博客