- 博客(1389)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 DDOS攻击为何永不过时?
DDOS比DOS更诡异的就是分布式,DDOS控制的僵尸电脑是全球的,有本地的,有国内的,还有国外的,很难分辨出谁真谁假,一般的中小企业的服务器根本扛不住大量的DDOS攻击,所以这也是DDOS攻击一直不过时的原因。好比如一家超市最多只能容许1万个人购物,但有一天娱乐群顶流明星坤哥来了超市,从外地带来了10万个粉丝购物,超市的工作人员肯定手忙脚乱的,丢东西算错账在所难免,超市的运营就会崩溃。
2023-12-04 08:50:53
2663
原创 想当黑客和网安工程师必知的赛事,现场就能被大厂录用!
当黑客或者学网络安全一定要参加的国内赛事,一流企业现场给你发offer。第一,XCTF全国联赛,国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台,如果你能在这里拿的奖,国内大厂任你选。第二,阿里CTF,奖金高达10万元,全程还有BlackHat费用,只要你技术过硬都可以参加。第三,高校CTF,比如说西科大XDCTF、杭科大的HCTF和北理工的ISCC这3项赛事,都是国内非常出名的高校CTF,多是大学生参加。第四个,全国大学生网络安全精英挑战赛,现在获奖就有机会进
2025-04-03 16:35:54
216
原创 揭秘RCE漏洞:黑客如何隔空控制你的电脑?
简单来说,远程代码执行就是黑客能够"遥控"你的电脑或服务器,让它执行黑客想要运行的指令,而这些指令本来是未经你授权的。就像有人偷偷拿到了你家的遥控器,可以随意打开关闭你家的电器一样。想象一下这个场景:你开发了一个网站,允许用户输入他们的名字,然后网站会显示"你好,XXX"。看起来很简单对吧?
2025-04-03 16:33:57
404
原创 Shell流量加密完全指南:红队渗透测试的隐身术
Cobalt Strike因其广泛应用,已成为许多IDS和流量检测工具的重点监控对象。使用默认配置和证书进行渗透测试,在高安全性环境中极易被识别和拦截。通过自定义C2 profile和证书,我们可以有效规避这些检测。
2025-04-03 16:32:20
508
原创 超长2万字干货!手把手带你用SSRF打穿内网,网络安全零基础入门到精通实战教程!
首先来看下本次靶场的设计拓扑图:先理清一下攻击流程,172.72.23.21 这个服务器的 Web 80 端口存在 SSRF 漏洞,并且 80 端口映射到了公网的 8080,此时攻击者通过这个 8080 端口可以借助 SSRF 漏洞发起对 172 目标内网的探测和攻击。本场景基本上覆盖了 SSRF 常见的攻击场景,实际上 SSRF 还可以攻击 FTP、Zabbix、Memcached 等应用,由于时间和精力有限,先挖个坑,以后有机会的话再补充完善这套 SSRF 攻击场景的。
2025-04-03 16:31:42
265
原创 网络安全kali web安全 Kali之msf简单的漏洞利用,黑客技术零基础入门到精通实战教程!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。从扫描出的端口发现,目标主机开启了135端口,服务为msrpc(远程过程调用服务),即Windows的RPC服务。所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
2025-04-03 16:29:05
59
原创 常见的网络攻防技术——黑客攻防(通俗易懂版)
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2025-04-02 15:33:26
625
原创 Kali利用msf渗透Windows电脑(超详细手把手教学)黑客技术零基础入门到精通实战教程!
msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。MSFvenom是Msfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。自2015年6月8日起,msfvenom替换了msfpayload和msfencode。
2025-04-02 15:32:32
574
原创 2025最新版漏洞挖掘教程,一文讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。渗透测试分为 白盒测试 和 黑盒测试
2025-04-02 15:29:18
642
原创 手把手教你Windows系统服务提权(含提权实验+环境配置教程),网络安全零基础入门到精通教程建议收藏!
如果目标主机的用户在配置服务时存在疏忽,使低权限用户对高权限下运行的系统服务拥有更改服务配置的权限(SERVICE_CHANGE_CONFIG或SERVICE_ALL_ACCESS),即可通过该低权限用户修改服务启动时的二进制文件路径,通过修改服务启动文件的路径“ binpath”,将其替换为恶意程序的路径,这样服务启动时便会运行恶意程序。由于大多数系统服务是system权限启动,如果让服务启动时执行其他程序,该程序就可以随着服务的启动获得系统权限,达到提权目录。
2025-04-02 15:27:26
486
原创 常见安全设备默认口令整理,网络安全零基础入门到精通教程
今天我给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取要学习一门新的技术,作为新手。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。
2025-04-02 15:25:59
332
原创 新手小白入门SRC漏洞挖掘经验分享,网络安全零基础挖漏洞教程分享!
漏洞挖掘方法非常多样,发现漏洞可能是扫描器直接出的漏洞,也有可能是一个不起眼的信息泄露引起的高危漏洞(如swagger UI页面,可以导致调试API接口引发更大的安全漏洞),但是总结两个点:一、在漏洞挖掘过程中细心查看每一个功能点以及数据包逻辑才是王道。二、学会利用自动化工具,最后信息收集才是最重要的老铁。===
2025-04-01 15:48:43
1220
原创 NISP和CISP证书:一文告诉你,它们的关系和真正含金量?是否值得考?
注册信息安全专业人员,英文名称 Certified Information Security Professional,简称 CISP,是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。对于计算机专业的学子们来说,如何在激烈的就业市场中脱颖而出,成为他们亟需思考的问题。持有CISP证书的团队或个人能够在投标中获得1-5分不等的加分,这在激烈的竞争中是一个重要的优势。
2025-04-01 15:47:38
452
原创 metasploit怎么用 基础(auxiliary、exploits、meterpreter)篇渗透测试教程建议收藏!
kali中,msf会默认存储在如下地址中早期版本也可能存在目录中。msf常用目录介绍data包含metasploit用于存储某些漏洞、单词列表、图像等所需二进制文件的可编辑文件。包含框架的可用文档。libmetasploit的库文件夹。plugins用来存放metasploit的插件。scripts用来存放metasploit的脚本,包括meterpreter及其它脚本。tools存放多种的命令行实用程序。modules存储metasploit的模块文件。modules目录文件介绍auxiliary。
2025-04-01 15:46:53
878
原创 初级黑客入门之sql注入报错分享(mssql+mysql),黑客技术零基础入门到精通实战教程!
当超过mysql的整形的时候,就会导致溢出,mysql可能会将错误信息带出。这里user()是字母默认为0 取反以后+1可能就会导致异常。不需要函数 ,直接让他报错出来也可以利用函数的参数让其报错absExpAvgBIT_AND后续还有很多就不一一列举了,直接burp跑一波结果其他请自行fuzz。
2025-04-01 15:44:50
666
原创 CISP-PTE:记录文件上传系统靶机做题思路(拿Key)渗透测试零基础入门到精通实战教程!
到这里PTE中该文件上传系统靶机的三个Key都拿到了,这个靶机主要是为了考验整体的渗透思路流程,虽然设置的比较简单,但是没有具体的渗透思路的话还是无法拿到全部Key的!文件上传那个地方个人感觉还是比较有趣的,利用了文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名的特性进行Webshell上传,然后利用文件路径泄露来获取Webshell路径!给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
2025-04-01 15:41:44
520
原创 渗透测试—账号密码泄露导致获取到数据库,黑客技术零基础入门到精通教程!
在里面找到一个接口参数带 asc ,看到这个 asc 一定想到的是 sql 排序注入,在现在的大部分的 sql 查询中,都被预编译防御了,但是也存在预编译防御不到的地方,比如 limit、order by 排序这样的地方,官方给出的是如果在这些地方使用预编译,会造成慢查询等问题。在一次测试中,偶然碰到 js 文件中写账号密码,我之前以为这种都是不可能存在的漏洞,拿到账号密码后,登录后台发现 sql 注入和未授权漏洞分享思路。预编译是将sql语句参数化,刚刚的例子中 where语句中的内容是被参数化的。
2025-03-31 16:47:48
338
原创 Kali Linux中常用的渗透工具介绍,网安人必看的学习干货还请收藏!
作为一名从事渗透测试的人员,不懂Kali Linux的话,就out了。它预装了数百种享誉盛名的渗透工具,使你可以更轻松地测试、破解以及进行与数字取证相关的任何其他工作。今天给大家分享一套,包括,内容全面丰富,特别适合渗透测试初学者、安全爱好者学习参考,建议大家人手一份。
2025-03-31 16:46:13
213
原创 一个漏洞2w+,网安副业挖SRC漏洞,躺着把钱挣了!挖漏洞平均一天收入多少?
综合性平台有补天、漏洞盒子、CNVD等等,独家SRC也有很多,比如华为、阿里、腾讯、360等。国外的漏洞也可以去挖,奖金更高。一般挖几个月就能找到门道,UP在接私活的第二年就赚了6万多。我行你也行!2025年,助大家都能实现财富自由,迈上人生新的阶梯!
2025-03-31 16:45:02
752
原创 做网安这几年,接私活赚的是我工资的3倍,这些门道没几人知道
这是我做网络安全工程师(简称网安)的第9个年头,从我工作的第3年起,我就一直在开始尝试去接网安方面的私活,这6年平均下来,我接私活赚的钱几乎是我工资的3倍。
2025-03-31 16:42:58
460
原创 网络安全5大子方向!哪个才是最优选择?一文找准你的发展方向,少走十年弯路!
首先我们一起来了解一下网络空间安全专业有哪些方向,以及每个方向所需要的基础能力。网安大体可分为5个子方向,分别为密码学与应用安全、量子信息安全、数据安全、系统安全、网络安全。
2025-03-31 16:41:48
986
原创 几个常见的越权漏洞挖掘案例分享,网络安全零基础入门到精通实战教程!
我的随手拍这里,点击删除抓个包可以看到是ids这个参数控制的回到首页,点个查询抓个包很明显这个ri_ir参数的值就是我们需要的ids直接复制过来发送,回显true记得回首页验证一下这条数据是否被删除一般一个地方有越权,像删除增加或者其他功能点大概率也存在越权点击新增功能点这里选择学号,会先进行查询data参数包含学号直接遍历即可,逻辑很简单,只是功能点不容易被发现接口未做鉴权,只判断了用户是否登录,并没有校验用户是否有相应的权限某功能点。
2025-03-29 16:12:50
701
原创 想当黑客网安工程所必知的赛事,现场就能被大厂录用!
当黑客或者学网络安全一定要参加的国内赛事,一流企业现场给你发offer。第一,XCTF全国联赛,国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台,如果你能在这里拿的奖,国内大厂任你选。第二,阿里CTF,奖金高达10万元,全程还有BlackHat费用,只要你技术过硬都可以参加。第三,高校CTF,比如说西科大XDCTF、杭科大的HCTF和北理工的ISCC这3项赛事,都是国内非常出名的高校CTF,多是大学生参加。
2025-03-29 16:11:45
884
原创 黑客零基础入门之免杀技术,一文详解免杀基础知识分享!
本文主要介绍了常见杀毒技术与免杀技术的基础概念,以及一些常见免杀技术的实现手法。免杀技术可深可浅,刚接触免杀并想深入学习的同学建议从汇编语言、Windows编程等基础学起。如果只作为自己众多技术点中的一环,希望拿来就能用的话,建议直接使用ShellCode加载器,简单高效,但要注意时效性噢。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2025-03-29 16:10:31
523
原创 安全圈最被低估的10个神器:一个比一个强大,大佬都在偷偷用!
这些冷门的网络安全工具是你工具箱中的强大补充,它们提供了独特的功能,覆盖从侦察到漏洞利用的多个环节。虽然像 Nmap 和 Burp Suite 这样的工具不可或缺,但探索像 CyberChef、BloodHound 和 Impacket 这样的“宝藏工具”能让你在网络安全工作中更加高效和灵活。
2025-03-29 16:09:34
746
原创 Kali Linux中常用的渗透工具介绍,网安人必看的学习干货还请收藏!
作为一名从事渗透测试的人员,不懂Kali Linux的话,就out了。它预装了数百种享誉盛名的渗透工具,使你可以更轻松地测试、破解以及进行与数字取证相关的任何其他工作。今天给大家分享一套,包括,内容全面丰富,特别适合渗透测试初学者、安全爱好者学习参考,建议大家人手一份。
2025-03-29 16:08:50
929
原创 黑客如何进行跳板攻击与防御详解,跳板攻击如何防御?网络安全零基础入门到精通教程建议收藏!
这是一台计算机被攻破并完全控制之后,黑客要做的第一件事。很多黑客宣称自己是非恶意的,只是对计算机安全感兴趣,在进入别人的计算机时,不会进行破坏、删除、篡改等操作。甚至还有更"好心"一些的黑客会为这些计算机打补丁,做一些安全加强。但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思,不过他们都不会反对把"肉鸡"上的数据弄回来保存。
2025-03-28 11:58:31
901
原创 2025顶级黑客练成计划,学会就入狱,手把手带你从零入门白帽黑客/网络安全行业,学不会我退出网安圈
不过黑帽子主要是进攻方,白帽子则是防守方,说白了他们都是黑客,只不过各自站的角度不同罢了,现在很多著名的网络科技公司都会组建黑客团队,开出极高的年薪,专门用来保护公司网络的安全。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。所以无论事黑帽还是白帽,重点都是黑客,掌握着黑客的技术,而只要将这项技术用在正道上,那么就是白帽子黑客,受人尊敬,受企业欢迎。
2025-03-28 11:46:45
991
原创 中国黑客群体的真实收入,实在太震惊!黑客这一行真的吃香吗?
从圈外认知来说,黑客一直被认为是高收入群体,黑客有白帽和黑帽处于黑白两道的黑客会的技术都有些相似,但是却是对立的,白帽做网络安全,修补漏洞。黑帽各种破坏,挖数据,攻击漏洞。可能很多人都会觉得黑帽黑客会赚的非常多,让我们一起看看吧。
2025-03-28 11:43:46
757
原创 【超全超详细】2W字零基础小白黑客学习路线,知识体系(附学习路线图)
这是外网曾经一篇很火的关于如何成为一个黑客的文章,虽然里面提到的一些技术可能有些过时,但就学习方法和思想上,仍然值得我分享给大家。关注大师的言行, 跟随大师的举动, 和大师一并修行, 领会大师的意境, 成为真正的大师。这可以追溯到几十年前,那时候第一代分时微型计算机才刚刚诞生, 而 ARPAnet 的实验也才刚展开。那时的编程专家和组网高手建立了一个具有共享性质的文化社群, “hacker” 这个名词就是其中的成员创造的。
2025-03-28 11:39:22
699
原创 10种常见的黑客攻击、满足你的黑客梦,零基础入门到精通,收藏这一篇就够了
成功的路径遍历攻击能够获得网站访问权,染指配置文件、数据库和同一实体服务器上的其他网站和文件。一是,如果能够获得关于即将到来的安全更新的信息,攻击者就可以在更新上线節分析出漏洞的位置。网络钓鱼是另一种没有直接针对网站的攻击方法,但我们不能将它排除在名单之外,因为网络钓鱼也会破坏你系统的完整性。网络钓鱼攻击用到的标准工具就是电子邮件。想要避免圃绕潜在数据泄露的风险,请让你的开发人员分析并审计代码的有效性。缓解网络钩鱼骗局风险最有效的办法,是使用电子邮件安全证书,并培训员工和自身,增强对此类欺诈的辨识能力。
2025-03-28 11:33:54
803
原创 【网络安全渗透测试零基础入门】之渗透测试工具Nmap安装使用命令指南,超强干货建议收藏!
nmap(Network Mapper)是一款开源免费的针对大型网络的端口扫描工具,nmap可以检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息。本文主要介绍nmap工具安装和基本使用方法。
2025-03-27 15:18:42
391
原创 【网络安全渗透测试零基础入门】之什么是文件包含漏洞&分类(非常详细)收藏这一篇就够了!
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
2025-03-27 15:15:46
379
原创 【网络安全渗透测试零基础入门】之渗透测试工具Nmap安装使用命令指南,超强干货建议收藏!
nmap(Network Mapper)是一款开源免费的针对大型网络的端口扫描工具,nmap可以检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息。本文主要介绍nmap工具安装和基本使用方法。
2025-03-27 15:13:53
538
原创 分享2025年黑客最常用的10款软件工具(包含编程密码破译漏洞扫描等),学会它你也可以成为黑客高手!
以下所有这些工具都是捆绑在一起的Linux发行版,如Kali Linux或BackBox,建议安装一个合适的Linux黑客系统,尤其是因为这些黑客工具可以(自动)更新。
2025-03-27 15:12:29
883
原创 【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)收藏这一篇就够了!
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段XSS攻击基础教程。本教程主要讲解XSS漏洞检测、利用和防御机制。Web的安全问题越来越严重,漏洞总是在不停的出现,而我们以前一直在做的都是打补丁,就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的,只要我们做好前期的工作。
2025-03-27 15:10:56
224
原创 黑客入侵无处遁形!Windows日志分析完全揭秘
在网络安全领域,系统日志是进行安全分析、事件响应和取证调查的关键依据。Windows系统在运行过程中会不断记录各类事件信息,这些记录为我们了解系统行为、检测异常活动和追踪攻击者的活动提供了宝贵的线索。本文将深入解析Windows日志系统,并介绍两款强大的日志分析工具,帮助安全从业人员更高效地开展工作。
2025-03-26 12:27:25
1007
原创 SRC漏洞挖掘教程,实操演示验证码攻防问题总结分享!
最近在做一些事业单位的渗透测试,并且指定系统进行测试,还不给账号密码,还不能被动扫描,所以没办法就只有在外围找找有没有弱口令,用户名枚举,暴力拆解啥的,很显然没有,所以就对图形验证码进行一系列操作看看有没有啥收获,这不,一测就有,就来水一篇文章hhh。现在为了防止攻击者暴力破解密码等操作基本上都使用了图形验证码,所以寻找测试点是比较容易的,我们主要测试验证码复用,这个测试点可能会有通杀的可能性。这里就拿几个我遇到的案例来进行讲解。
2025-03-26 12:23:36
584
原创 记一次奇妙的降价支付逻辑漏洞挖掘之旅,网络安全零基础入门到精通实战教程!
记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。这是一个新能源汽车充电小程序,出现问题的功能时购买电池的功能点,一开始选择购电,可以选择购买30度,50度,80度。不同电量对应了不同的价钱,30度电248元,80度是380元,这个漏洞的效果,就是通过简单的替换,将购买80度电时的价格变成购买30度电的价格,实现降价。
2025-03-26 12:09:18
545
原创 记一次某大厂csrf漏洞通过蠕虫从低危到高危,网络安全零基础入门到精通实战教程!
本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度。
2025-03-26 12:04:25
835
Java动态Web工程项目(学校报告可用)
2021-01-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人