兰汐儿-优快云博客

原创 pikachu——暴力破解、文件上传篇

暴力破解“暴力破解”是一种攻击手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。我们说一个web应用系统存在暴力破解漏洞，一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高。这里的认证安全策略, 包括：是否要求用户设置复杂的密码；是否每次认证都使用安全的验证码或者手机otp；是否

2023-10-24 00:32:20 357

原创信息收集——全篇

当知道目标的域名，首先要做的就是通过whois数据库查询域名的注册信息（whois数据库是提供域名的注册人信息，包括联系方式，管理员名字，管理员邮箱等等，其中也包括DNS服务器信息）在互联网中，使用公开的资源网站可以用来对目标信息进行收集，使用这些网站，流量不经过目标主机，目标主机也不会记录行为。注意：在一个渗透项目下，需要有多次的信息收集，同时也要用不同的收集方式，才能确保信息的完整性。不适用选项的dig命令，只返回一个记录，如果要返回全部的记录，只需要在命令添加给出的类型。

2023-07-18 14:54:43 223 1

原创 kali搭建靶场

git clone https://github.com/digininja/DVWA.git #DVWA项目克隆到本地。service apache2 start # 启动apache2。service apache2 status # 查看启动状态。打开网址：127.0.0.1,得到页面即搭建成功。如果有报错，手动下载压缩包，再上传到。pwd #用于显示工作目录。ls #显示文件目录列表。将DVWA整个文件夹移动到。网站的根目录，可以使用。

2023-07-11 11:31:35 512

原创 kali+vulfocus搭建靶场

前提准备：确保kali有足够的内存（20G+）如果没有磁盘扩容并对其进行磁盘分区。status为up模式。

2023-07-05 10:42:13 398

原创 msf免杀木马生成

等黑客技术，所以难度很高，一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。set payload windows/meterpreter/reverse_tcp#设置攻击位。本章是通过msf（msfvenom）命令实现免杀的操作。由于免杀技术的涉猎面非常广，其中包含反。简称"免杀"，它指的是一种能使病毒木马免于被。补充：常见的后门生成方式！在kali中生成常见的木马命令。

2023-07-04 15:27:45 2580 1

原创内网穿透演练

在behinder的配置文件server中获取shell.jsp,复制文本进入thinkphp5反序列化工具，上传jsp文件，用冰蝎进行连接，连接成功即可获取flag。把frp-linux中frpc和frpc.ini文件上传进自己的文件夹。蚁剑连接成功后在18目录下新建文件夹为zsm，配置frp。获取文件上传路径，使用蚁剑进行连接，密码：403。在frp-windows中命令行模式下，输入命令。进入管理员界面，在资源管理中上传一句话木马。在frp-windows中配置。在frp-linux中配置。

2023-06-19 18:09:05 270

原创 sqlmap注入

在windows和kali系统下，利用sqlmap获取账号和密码

2023-03-14 11:27:21 157

原创 Mysql漏洞注入——万能密码

万能密码，mysql绕过验证和web渗透测试

2023-03-14 09:37:52 1326

原创 DVWA的典型例题分析

DVWA靶场部分通关教程，安装教程可以查看上一篇文章

2023-03-13 21:26:33 209

原创 DVWA靶场搭建教程详解

phpstudy下DVWA的靶场搭建

2023-03-10 11:41:18 1863 1

原创 nmap msf（发现与攻击）

kali下对电脑进行攻击扫描

2023-03-04 16:01:44 350

原创文件上传漏洞挖掘实战

使用burpsuit和蚁剑分析文件上传漏洞，并获取相关信息

2023-03-04 13:51:34 468

原创 GNS3安装教程

GNS3安装在win10系统中或者VM

2023-03-02 19:53:45 1418

原创 JAVA环境配置

java环境变量配置和java多环境切换

2023-02-28 20:26:09 3572

原创 Burpsuit配置火狐浏览器代理

burpsuit关于火狐浏览器的代理配置和证书导入

2023-02-28 11:33:13 3009

原创 sql注入——pikachu

利用pikachu靶场进行sql注入，利用软件：burpsuit，phpstudy

2022-12-17 09:54:07 87

原创尤里的复仇（1）——掌控者

简单的sql注入

2022-12-13 23:46:24 201

原创网络安全实验室(1)

信息安全有关知识

2022-06-06 16:31:49 379

原创计算机网络知识——基础篇

计算机初级了解知识

2022-06-02 16:36:04 541

DVWA靶场，基于phpstudy的压缩包

DVWA全称为Damn Vulnerable Web Application，意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用，旨在为专业的安全人员提供一个合法的环境，来测试他们的工具和技能。帮助web开发人员理解web应用保护的过程，还可以在课堂中为师生的安全性教学提供便利。 DVWA是一个RandomStorm开源项目，了解更多关于RandomStorm开源项目可以访问 http://www.randomstorm.com. DVWA项目开始于2008年12月，并逐渐受到欢迎。现在，全世界有成千上万的安全专业人员，学生和教师正在使用它。 DVWA现在已包含在流行的渗透测试Linux发行版中，例如Samurai的Web测试框架等。

2023-03-10

圣诞节.zip拥有一个只属于你的圣诞（程序）

适合隐藏式告白，闺蜜式倾诉，西方文化也可以有中方味道。圣诞节是国外一个普天同庆、万民欢腾的日子。圣诞节对于欧美国家的人而言，就犹如中国人过春节。他们有圣诞节的假期，赠送圣诞节的礼物，参加圣诞节的各样活动。有心的人，在这样的轻松热闹的氛围下，借机向心仪对象示好、表白。想想看，借所谓“圣诞节”送个礼物就可脱单，这事绝对是一件划算的事情，哪怕不脱单，年轻人大家一起乐，也是多一些机会，再退一步，哪怕都和这些无关，和小伙伴借机快乐一下又有什么不好呢？

2023-03-02

gns3安装包，其中包括程序镜像资源

GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS等)的网络虚拟软件。Cisco网络设备管理员或是想要通过CCNA,CCNP,CCIE等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟操作。同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。简单说来它是dynamips的一个图形前端，相比直接使用dynamips这样的虚拟软件要更容易上手和更具有可操作性。 GNS3整合了如下的软件: Dynamips:一款可以让用户直接运行Cisco系统(IOS)的模拟器 Dynagen:是Dynamips的文字显示前端 Pemu:PIX防火墙设备模拟器。 Winpcap:windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的在于为win32应用程序提供访问网络底层的能力。

2023-03-02

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人