ElsonHY的博客

JWT(Json Web Token)的原理、渗透与防御。

一种挖掘xss的思路

Ubuntu 图形化界面登录，报错 sorry,that didn’t work.please try again今天刚装完ubuntu20.04,设置好root密码后发现 root 用户登录会报这样的错误：Sorry,that didn’t work.please try again.实际上命令行登录是没有问题的，说明并不是密码的原因，基本就是桌面环境的原因啦。vi /etc/pam.d/gdm-autologin#注释 "auth requied pam_succeed_if.so user

前言今天想安装sysmon来对windows系统日志进行安全研究的时候，发现本机（WIN10）成功安装了，但是在靶机win7和win2008上安装时都出现了同样的错误信息：“error getting the evt dll (wevtapi.dll): 87”。以下是解决安装问题的方法。一、安装补丁一开始以为是系统环境缺少了“wevtapi.dll”这个文件，但是在系统文件中发现并不缺少，即使从网上下别的版本进行注册，问题依旧存在，应该不是缺少文件的问题了，最后才知道是由于没打系统补丁导致的安装失败

文章目录前言0x01 使用环境0x02 判断注入点0x03 常用命令1.查询当前数据库2.查询所有数据库3.爆表名4.爆字段名5.脱库6.获取数据库用户密码（加爆破）0x04 总结前言sqlmap可以说是sql自动化注入工具的不二之选了，通常sql注入的过程中，也没有人绝对地只用手注或者自动化注入，通常是根据实际情况两者配合使用，这篇文章以POST类型注入为例子，示范sqlmap常用命令的使用方法。0x01 使用环境测试网页：sqli-labs的第11关。操作系统：kali(由于win环境

细谈渗透测试的前期工作——信息收集前言0x01 收集什么信息0x02 作用和收集方法总结前言都说学安全的，查资料找信息什么的都是基本功，收集信息的能力都是杠杠的，经常网上有什么热门的事情，小伙伴们都会来找我帮他们找点瓜吃，也常常让我帮忙找特定的一些岛国教育资料，真是工具人实锤了。。咳咳扯远了，扯远了。所谓知己知彼，百战不殆，要做好渗透测试，前期的信息收集工作可以说是非常重要了，在面试中这也是高频出现的问题，可能感觉很简单，但是其中还是有很多不可忽略的小细节，往往就是这些小细节决定能否成功渗透的一个

前言今天下了一个开源的建站文件，想用来测试一下。和往常一样，把文件放到根目录下之后，出现了FORBIDDEN报错，一开始挺纳闷的，其他目录都能正常访问怎么到你这就不行了，也不可能是权限问题啊。最后才发现是没打开允许目录列表这个设置的关系。1.出现的错误页面。2.在设置中勾选允许目录列表3.再次访问，能正常显示。总结其实最后我还是不能理解，文件目录下是有index.php文件的，为什么非要打开允许目录列表才能访问，毕竟这个选项在实际运用中是不建议打开的，希望有建站的行家来帮助解惑。ORZ