- 博客(49)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 【自制小工具】安全攻防渗透测试一键生成反弹shell自动化工具
综合渗透或者打比赛时,是否手忙脚乱到处找反弹shell代码?可悲的是尝试千万遍,就是弹不回来。就在这样不断自我怀疑中错过了真正有价值信息,关键是浪费了精力和时间,遗憾错过getshell的突破时刻。在github上寻找了很多这类工具,发现几乎所有工具自动生成的反弹shell都不太全,而且没有文件级的反弹脚本,在真实环境中总因为没有合适的代码而失败而归。基于以上问题,我自行开发了这个软件。
2024-12-23 10:52:19
1347
23
原创 CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
2023-05-22 00:15:00
4685
39
原创 CTF-PHP反序列化漏洞5-反序列化字符逃逸
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP的反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
2023-05-15 00:15:00
2108
25
原创 CTF-PHP反序列化漏洞3-构造POP链
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
2023-05-08 00:15:00
2293
18
原创 CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
2023-05-08 00:15:00
3078
10
原创 CTF-PHP反序列化漏洞2-利用魔法函数
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
2023-05-01 00:02:54
2131
23
原创 phpstudy本地环境搭建图文教程
PHPStudy为服务器环境提供极佳配置的解决方案支持CentOS、Ubuntu、Debian、Fedora、deepin,Web端管理,QQ群及论坛技术支持一键创建网站、FTP、数据库、SSL;
2023-04-18 07:04:18
7109
34
原创 CTF-PHP反序列化漏洞1-基础知识
PHP序列化是将一个PHP对象转换成一个字符串,以便在不同的应用程序之间传递和存储。反序列化是将序列化的字符串转换回PHP对象。攻击者可以通过构造恶意的序列化字符串来触发代码执行,这就是PHP反序列化漏洞的本质。
2023-04-11 09:18:12
2017
28
原创 【平常心无焦虑探讨】未来谁将被淘汰—在日常网络安全工作中使用GPT的感受
这段时间不断尝试在我的工作和生活中使用GPT,我慢慢形成了和主流媒体不太一样的观点~下面跟大家说两个我亲身使用的例子,不同他人笼统的效果展示,我会详细说来,相信看完故事,你一定能理解我想表达的想法,也会像我一样不再焦虑。我预感未来会被AI影响而淘汰的不是行业,而是不会使用AI技术,为自己所用、为自己加持赋能的人,他们终将比不过背后有AI搭档支撑的我们。
2023-03-27 01:50:32
5481
26
原创 kali内置超好用的代理工具proxychains
Kali Linux是一个流行的安全测试和渗透测试操作系统,而ProxyChains是其中一个非常有用的工具,它可以帮助用户在渗透测试期间隐藏其真实IP地址,以便更好地保护他们的匿名性和隐私。具体来说,ProxyChains是一个开源工具,它允许用户通过一个或多个代理服务器来路由TCP或UDP连接,从而隐藏其真实IP地址。该工具可以用于在不被发现的情况下执行各种网络操作,例如扫描和攻击,而无需揭示用户的位置和身份。
2023-03-21 00:07:30
13337
24
原创 内含18禁~~关于自学\跳槽\转行做网络安全行业的一些建议
如何自学入行?如何小白跳槽,年纪大了如何转行等类似问题,发现很多人都有这样的困惑。 下面的文字其实是我以前的一个回答,就以文章的形式发出来,希望能帮助到各位读者吧~
2023-03-13 00:00:00
8543
25
原创 【房间墙上凿个洞,看你在干嘛~】安全攻防内网渗透-绕过防火墙和安全检测,搭建DNS隐蔽隧道
暴露面身后的庞大内网在设计之初,是严禁直接从互联网访问哦! 而攻击者使用各种代理工具就像各种专用通道,能让你在家中笔记本上敲出的命令,通过这个通道轻松进入到目标内网的主机上,并将感兴趣的东西带出,甚至破坏。`就像有人在你房间的墙壁上凿出一个洞,让你安全的小窝豁然暴露在他的面前一样`。
2023-03-02 17:46:43
2775
25
原创 罗技LogitechFlow技术--惊艳的多电脑切换体验
罗技的Logitech Flow技术是一项能够让多台计算机之间共享键盘和鼠标的技术。通过使用Logitech Flow技术,用户可以在多台计算机之间无缝切换,并可以在不同的计算机上复制和粘贴文件、文本和图像等内容。这项技术可以帮助用户提高工作效率,特别是那些需要在多台计算机上工作的用户。
2023-02-21 04:00:00
7860
30
原创 天猫商城自动化python脚本(仅供初学者学习使用)
从前年开始,天猫和京东就推出各类抢购活动,最有代表性的就是53°飞天茅台的抢购,那个抢到后真金白银能赚到钱。本文介绍的脚本仅是实现淘宝从购物车自动全选、结算、下单直到付款的自动化脚本工具,是一个非常初级简单的脚本。抢到这个茅台不太可能,但是一般的商品自动化没问题。但是对于初学者能非常好的get到思路,并能直接看到效果。
2023-02-13 02:00:00
15867
48
原创 Python Flask框架-开发简单博客-认证蓝图
本专栏是对Flask官方文档中个人博客搭建进行的归纳总结,与官方文档结合事半功倍。 本人经验,学习一门语言或框架时,请首先阅读官方文档。学习完毕后,再看其他相关文章(如本系列文章),才是正确的学习道路。
2022-11-15 00:16:12
4619
58
原创 Python Flask框架-开发简单博客-定义和操作数据库
本专栏是对Flask官方文档中个人博客搭建进行的归纳总结,与官方文档结合事半功倍。基础薄弱的同学请戳Flask官方文档教程 本人经验,学习一门语言或框架时,请首先阅读官方文档。学习完毕后,再看其他相关文章(如本系列文章),才是正确的学习道路。 如果python都完全不熟悉,一定不要着急学习框架,请首先学习python官方文档,一步一个脚印。要不然从入门到放弃是大概率事件。 Python 官方文档教程
2022-11-07 03:28:12
2519
36
原创 Python Flask框架-开发简单博客-项目布局、应用设置
本专栏是对Flask官方文档中个人博客搭建进行的归纳总结,与官方文档结合事半功倍。基础薄弱的同学请戳**[Flask官方文档教程](https://dormousehole.readthedocs.io/en/2.1.2/index.html)
2022-10-31 01:02:19
3958
52
原创 Python Flask框架-开发简单博客-开篇介绍
Flask框架是Python中的一个非常重要的WEB开发框架,与另一个重量级Python Web框架Django齐名。但与Django的重和全不同,Flask强调灵活和简单。所以我们也会称Flask为微框架。微框架中的“微”字表示 Flask 的目标是保持核心简单而又可扩展。Flask 不会替你做出许多决定,比如选用何种数据库、使用何种模板引擎,在flask中这些都是非常容易改变的。Flask可以变成你任何想要的东西,一切恰到好处,由你做主。
2022-10-24 01:22:17
4480
52
原创 优快云文章点赞、收藏、评论后到底发生了什么?简要分析HTTP交互机制
作为一名原创作者,非常关注点赞、收藏、评论数,这代表了作品的受欢迎程度,也是各位读者对我创作文章的实际反映。同时作为web安全领域的作者,DN兄实现这些功能的HTTP交互机制,也是要稍微看看的。文末有一键三连脚本演示视频哈~
2022-10-10 15:55:44
4063
51
原创 【自制小工具】快速批量查询IP归属地(自动去重、按国内外汇总,并智能识别出错误IP)
如何才能快速提升自己的编写脚本的能力呢,我之前说过“为了学习而学习,永远学不好”。所以本文以我在实际工作中的真实场景为例,讲解自制小工具的思路。在实际安全工作中,经常会从各种渠道获取大量IP,在进行分析前,首先需要对IP进行处理。本视频介绍的工具可以大量查询IP归属地信息,速度较快,并具有极强的容错性,不会因个别错误IP导致无法分析或输出结果。而且傻瓜式使用,极其简便。
2022-09-19 00:00:00
7292
53
原创 web安全最亲密的战友Burp Suite2--target模块体验
本文对Burp Suite的target模块体验,后续文章会介绍其他模块的使用,欢迎点赞、关注!本文是我的免费专栏《网络攻防常用工具介绍》的==第二篇==文章**每篇文章中均配有完整演示==视频==,欢迎观看!****`磨刀不误砍柴工!`****`在介绍攻防技术时,基础工具的使用很容易忽略,但是对不熟悉的同学来说,这将极大影响学习。 所以本专栏专门介绍网络攻防或CTF竞赛中必备的工具及其使用方式。方便对该领域感兴趣的同学更快入门。为后续学习扫清障碍。`**
2022-09-12 00:40:29
2666
48
原创 web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一
说起WEB安全,无论是攻击方还是防守方,都离不开抓包。那什么是抓包呢?简单说来,就是在web交互中,不同服务端、客户端、主机间都是以一个个数据包方式发送和接收,再根据内容进行响应,完成交互和信息传递。以上的交互流程,对正常使用者来说是不可见的。但我们作为安全技术人员怎么能够是正常使用者呢。所以需要使用专门的工具对这个流程可视化,了解目标系统是如何交互?业务开发的逻辑是怎么构建?众多组件和框架是什么?同时我们对数据包可以进行拦截、修改测试、甚至伪造、篡改等,来达到特定目的。
2022-09-05 11:35:35
5797
35
原创 要写脚本,编程不好不要紧--浅谈CTF中脚本的编写方法
CTF比赛中脚本的编制,没有大家想象的那么难。真正难得地方是思路,是找到破题点。如果基础较弱,在日常CTF学习中,遇到不明白的函数,随遇随学,多记套路用法即可。不断练习已经理解的脚本,不断重温新学的函数,写的多,自然就入门了。等真正有时间,再系统学习一门编程语言即可。个人经验,为了学习而学习,永远学不好。为了一个目标,用“偷懒”的办法,学以致用,不断巩固练习,效果反而好。...
2022-08-08 00:15:00
4144
47
原创 XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
XML外部实体注入(XXE)WEB安全系列包括如下三个专栏:《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!欢迎关注订阅专栏!专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识
2022-07-20 09:29:38
3033
58
原创 我说话你不信,那就让你girl friend说,看你信不信~WEB安全基础入门—服务器端请求伪造(SSRF)
WEB安全基础入门—服务器端请求伪造(SSRF)欢迎关注订阅专栏!WEB安全系列包括如下三个专栏:知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!...
2022-07-12 12:58:47
1111
42
原创 CTF比赛必备常用工具
CTF常用工具stegsolve、Winhex、IDA、Ziperello、QR_Research、Exeinfo字典等应有尽有
2022-07-04 20:01:18
25644
197
原创 一级必杀,防不胜防的漏洞,WEB安全基础入门—文件上传漏洞
文件上传漏洞指缺失或可绕过对拟上传文件的名字、类型、内容或大小进行验证。导致实际可上传恶意文件,如脚本或木马。造成远程命令执行、敏感信息泄露等危害。
2022-06-27 08:46:59
2129
53
原创 小白兔快开门,我是你爸爸。WEB安全基础入门—访问控制漏洞和权限提升
欢迎关注订阅专栏!WEB安全系列包括如下三个专栏:知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!访问控制是对谁可以执行什么操作或是否允许其访问所请求资源的管控。访问控制的设计和管理是一个复杂且动态的问题,它将业务、组织和法律约束应用于技术实施。由于访问控制设计的决策必须由人权衡后做出,而不是单纯由技术做出,因此出错的可能性很高。...
2022-06-21 08:40:18
1546
51
原创 公司账号密码、通信录泄露屡见不鲜,肆意流淌的敏感信息:WEB安全基础入门—信息泄露漏洞
公司账号密码、通信录泄露屡见不鲜,肆意流淌的敏感信息:WEB安全基础入门—信息泄露漏洞
2022-06-17 13:11:55
1140
26
原创 不可思议但又无处不在的漏洞,WEB安全基础入门—业务逻辑漏洞
业务逻辑漏洞,往往对技术要求不高,但是需要测试人员有异想天开的脑洞,本文可重点看4.漏洞实例,拓宽下脑洞,见识下一个个不可思议,不可理喻的业务逻辑漏洞。
2022-06-13 12:34:17
3976
65
原创 WEB安全基础入门—操作系统命令注入(shell 注入)
WEB安全基础入门—操作系统命令注入(shell注入)欢迎关注订阅专栏!WEB安全系列包括如下三个专栏:《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!欢迎关注订阅专栏!......
2022-06-09 07:30:00
2060
54
原创 WEB安全基础入门—目录遍历(路径遍历\路径穿越攻击)
WEB安全基础入门-目录遍历(路径遍历、路径穿越攻击)欢迎关注订阅专栏!WEB安全系列包括如下三个专栏:《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!欢迎关注订阅专栏!......
2022-06-06 07:30:00
3511
57
原创 WEB安全基础入门—身份验证漏洞
WEB安全系列包括如下三个专栏:!《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路!专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,全面汇总相关知识,掌握一类漏洞。让读者能尽快掌握WEB安全知识框架,入门深造。绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识点,导致逻辑凌乱,让读者沉迷
2022-06-02 07:30:00
1646
45
原创 搞懂玩爆OAuth 2.0—OAuth2.0身份验证漏洞
详细讲解OAuth2.0基础原理和授权认证具体实现方式!并由此讲解OAuth2.0全方位安全漏洞,并配有靶场,边看边练!!!
2022-05-30 07:26:38
5562
44
原创 WEB安全-金手铐系列-HTTP/2高级请求夹带攻击--Advanced request smuggling
本文详细介绍了HTTP/2的基础知识和相关安全知识,并有详细靶场讲解。阅读此文需要一定的HTTP基础,若看不懂的话,不要紧,请先三连。后续我会将我的文章根据知识点的先后顺序和难易程度分组,方便大家阅读,谢谢。
2022-05-27 07:03:22
1059
43
原创 学好此文,国家赠送金手铐和职业套装,数年管吃管住-HTTP请求夹带(HTTP request smuggling)
重要的问题说三遍,在真实运行的网站中不要测试!不要测试!不要测试!一般网站扛不住这种攻击,轻易尝试标题就是实打实送你的福利了,中奖率100%。如标题提示,此文如你看不懂,没问题三连支持即可。如你能掌握,切记不要在真实运行的网站进行测试 。在靶场练习即可。此种方法危害性太大,一般网站扛不住,就算靶场我在练习的时候,也瘫了好几回。
2022-05-23 09:21:51
7885
83
安全攻防渗透测试一键生成反弹shell自动化工具
2024-12-20
CTFSHOW web193 left标注盲注脚本
2023-05-04
CTFSHOW web192 标注盲注脚本
2023-05-04
CTFSHOW web164 PNG二次渲染脚本(生成图片马)
2023-05-04
win版 SageMath-9.3-Installer-v0.6.3下载
2023-05-04
ctfshow web220 盲注left,limit控制脚本(绕substr\ascii\mid)
2022-10-21
工控安全相关软件合集下载(Portal博途 、AutoThink、Forcecontrol、SMART、组态王
2022-05-27
全国注册渗透测试专家(CISP-PTS)官方培训PPT资料。
2022-05-27
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人