xshzgjshpy1-优快云博客

原创 Oracle 23ai 对应windows版本安装配置&PLSQL导入pde文件&navicat连接Oracle

（另外在文件里添加新的连接没用，具体原因不清楚，free版本好像只能用FREE这个连接），用户名为sys或者system，这是oracle的默认用户，密码是当时安装时设置的密码。1、oracle数据库配置需要有服务名称，端口一般为1521，本地配置为localhost，用户名sys或者俄式system，需要连接时选择sysdba权限。3、下载后解压，运行setup.exe，运行时，会需要输入数据库密码，输入你的密码，并记住该密码。7、那么用navicat登录时，配置如下，连接名称随意，其他如下。

2024-11-21 09:49:41 1766

原创【攻防世界】view_source

提示右键坏的。所以F12。

2024-08-20 10:35:52 356

原创【攻防世界】ics-06

最后试了下，是id用burpsuite爆破。进入后点了点，左边只有一个报表中心能打开。看到网址后面有个id的参数。进去后选时间，没什么用。

2024-08-20 10:27:19 557

原创【攻防世界】PHP2

把a进行url编码是%61，再编码一次是%2561，然后输入/index.php?id=%2561dmin，就可以得到key了。cyberpeace{b3e4acd6f86cafc54093b10710aef20b}审计代码，就是get传参id，如果id=admin，就不可以，但是如果把id进行urldecode之后id=admin，那么就可以看到key。最后加/index.phps，phps意思是php source，也就是php源码。尝试网址后面加/index.php，/admin.php等都不行。

2024-08-20 09:49:34 310

原创【攻防世界】Training-WWW-Robots

当一个搜索机器人（有的叫搜索蜘蛛）访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，那么搜索机器人就沿着链接抓取。robots.txt是一个纯文本文件，在这个文件中网站管理者可以声明该网站中不想被robots访问的部分，或者指定搜索引擎只收录指定的内容。在网址后面加/fl0g.php，得到flag：cyberpeace{6e64b479780e84195645b77d8406de30}看到了flag的地址。

2024-08-20 08:57:58 229

原创【setoolkit】使用报错：Permission refused

看了问题是python的里面报的错，还以为是版本问题，又是重装python又是恢复kali的，结果就是不行。后来发现问题是在这里。这个setcore.py这里有个url，原来是raw.github.comxxxx，但是实际地址改了，现在应该是。今天用kali使用setoolkit报错permission refused。按照这个改url，然后运行就不会报错了。环境：kali2023.3。

2024-06-18 16:39:22 252

原创【django】云服务器windows+wsgi+django全面经验总结（一）

templates这个空文件夹是放在根目录下，后续我们是在app中创建，所以删除，最后架构就是这样。2、PyCharmProfessional就是很方便的可以直接构建一个django项目，不需要再用python manage.py新建。（4）数据库默认是sqlite3，一般网站还是用mysql等数据库会比较好。5、在项目里建三个文件夹，static、templates、media。（3）添加多媒体路径，这个media一般是上传下载文件保存的地方。从开发到部署，到域名访问，一站式经验总结，开整！

2024-03-19 11:47:36 446 1

原创【python】pyecharts生成的html图片修改尺寸

近期在写一个pyecharts生成的html图片时，发现tree图是默认900*500的大小，想要修改，在pyecharts的官方文档没有看到相关说明，查了下，但是不适配当前版本。要注意的是，官方文档里给了一个text_size来修改字体大小，但是这个在最新版本里是没有的，需要用opts类进行修改初始属性。自己看了下pyecharts文件才发现，它是在基础的类里就加了方法的。collapse_interval是指节点之间的间隔大小。symbol_siza是指节点那个圈圈的大小。

2024-02-20 16:32:20 989 1

原创【hackthissite】Basic 9 SSI注入+1

-#exec cmd="ls .."-->意味这是在level 8的8目录下展示，那么level 9就是和level 8的上两级目录相同。--#exec cmd="ls ../../9"-->，意味着查看9目录下的所有文件。这个关卡看上去很复杂，实际不是，它帮助我们了解怎么对用户的输入进行脚本验证。整个内容还是在level8的基础之上的，掌握了level8，level9就掌握了。1、里面提到了level 8关卡，而这里也没有可以输入命令的框，是否意味着level8里的输入框可以使用？

2024-02-01 09:25:43 330 2

原创【python】django引用文件报错OSError: cannot open resource的问题

django项目在新建时，会生成一个文件夹，包括setting.py、url.py，还会有一个文件夹，包括models.py、views.py。这两个都不是根目录，而是django项目所在的目录。下载字体后，将字体放在和函数所在py文件相同的路径下，采用相对路径，只输入字体文件的名字：1.ttf。使用django进行网页验证码函数编写时，验证码函数需要生成一个图片和对应的验证码字符串。将字体文件多处调整后，发现仅在django项目的根目录下，才能相对路径被识别。总结：django相对路径针对的是根目录。

2024-01-31 17:02:32 405

原创【docker】 Unable to find image的解决办法

然而并不支持，重新运行docker报错Job for docker.service failed because the control process exited with error code.操作系统：centos opencloudos（腾讯云服务器所用centos）查了下，需要新建daemon.json文件，把docker国外源变更为国内源。今天尝试了下docker，发现存在以下问题，进行记录。docker拉取镜像报错时，可以尝试修改源。时间：2023-12-26。4、尝试修改源，成功。

2023-12-26 17:31:33 10513 1

原创【hackthissite】Basic 8 SSI注入

它在发送到用户浏览器之前由web服务器进行处理（或解析）——把SHTML文件中包含的SSI指令解释出来，服务器传送给客户端的文件，是已经解释的SHTML，不会有SSI指令——它实现了HTML所没有的功能。2、在网址后面加入文件名就可以直接访问，是以前的web的查看方式，在现在诸多框架存在的时代，这种方式已经很难使用，因为在框架里会指定路径对应的文件。1、shtml的命令注入是由于shtml进行模板渲染的方式，所以后端在获取前端的输入时，需要进行反注入的处理，才能够运用在后端。

2023-12-25 08:48:58 542 1

原创【hackthissite】Basic 7 UNIX注入

说明如果默认执行日历脚本，那我们也可以通过这个注入点注入我们需要的命令，从而显示我们想要的东西。而对于web安全来说，通过传送数据包的方式向后端发送请求，避免直接获取客户输入，是有效防止渗透的方式之一。对于命令注入的方法，需要学习linux/unix相关命令，以及linux/unix的文件路径。2、尝试在这里输入命令：（ls是unix和linux命令，意思是展示当前目录下的所有文件）把没加密的本关密码保存在这个特别的文件夹里的一个怪怪名字的文件里。只有极致的拼搏，才能配得上极致的风景。

2023-12-21 10:45:08 438

原创【hackthissite】Basic 6 密码被加密了？

将朋友看成手足，将手足当成自己真正的手和脚，将子女看成父母，将父母看成心爱的子女......这些。这是凯撒密码的一种，偏移量为字符所在位置。其他的还有RSA等算法。1、尝试输入最简单的“123”，显示加密后是135。每天一句：如果我们能够做得到将丈夫当成。你现在已经解密了他的密码，密码是。尝试解密密码然后把它写在下方。2、输入abc，则对应ace。3、输入,./，则对应,/1'5、得出密码8adf7aaf。，可能就不是目前的这个局面了。

2023-12-20 09:00:00 476 1

原创【hackthissite】Basic 5 又来一次

Sam已经知道了那些自己修改表单来获取密码的人。他不想记住密码，而是加固了他的电子邮件程序。不太明白为什么两道题一样的。同专栏里的basic4。html标签type。加油努力永远不放弃。

2023-12-19 09:00:00 445 1

原创【hackthissite】Basic 4 请交出你的邮箱

2、web前端通过获取用户的输入信息，get方式简单的在url里传递，或者是post打包发送，现在很多是json数据包的传递方式。传递给后端，后端再进行数据的处理，最终呈现结果。但是渗透的本质方式之一也就是通过获取到关键的值并进行修改，只不过难度会随着网站搭建安全系数的提高而提高。师Sam给脚本里的密码硬编码了，然而，密码又长又复杂，Sam老是忘记。于是他写了个脚本，一旦他忘了，脚本就可以自动把密码用邮件发给他。那么也就是说，这个请求会发送给脚本，脚本通过传递过来的value属性确定要发送给谁。

2023-12-18 10:31:13 795 1

原创【hackthissite】Basic 3 被隐藏的php

4、这意味着后台调用的密码文件就是password.php，在浏览器上的原地址后面加上/password.php,即（hackthissite.org/missions/basic/3/password.php）,然后就可以进入这个密码文件，看到真正的密码是7b4ba052。1、熟悉html语言中的组件的type类型，type类型的不同会影响到各种组件的显示、隐藏、样式等，比如把type从password改成text，就是大家常用的密码可见。**每天一句鼓励：学习和努力，让我变得更好，让世界变得更好。

2023-12-13 17:16:02 429 1

原创【hackthissite】Basic 2 忘记的密码文件

网络安全师Sam设置了一个密码保护脚本，他从一个没有加密的文本文件中加载真正的密码，然后和用户输入的密码作比较。然而他忽视了上传密码文件...1其实这里是对后台数据的维护提醒，如果后台数据没有处理好，明文密码或者是忽视密码不为空的设置，很可能导致网站的渗透。借用《我是谁：没有绝对安全的系统》电影里的一句话：人类才是系统中最大的漏洞。没有密码文件，意味着你不输入密码，点击提交就可以通过....

2023-12-12 10:04:01 393

原创【hackthissite】Basic 1 简单的html

这个关卡我们称之为“小傻瓜训练”，如果你无法完成，也不要放弃，尽力去学习。但是不要向他人寻求答案，因为这是让你讨厌让你爱的一关哦！输入正确的密码就可以完成这一关。

2023-12-11 16:02:02 423 1

原创【hackthissite】HTS网站渗透学习

因为最近在学习渗透方面的知识，所以对于html\css\js\php等等知识都在慢慢消化，也动手尝试了下搭建，但是和实战还是有不小差距。所以准备来一个hackthissite专栏，把每一次渗透掌握的知识点再在这里巩固一下，也方便以后的查看学习。注册完成之后在左边就可以进行学习挑战，挑战从易到难像游戏闯关，非常好玩又很有用~进去之后记得先在左边注册一下哦~

2023-12-08 15:57:40 2103

原创【python】pyecharts离线显示图片和pyinstaller方法

如果大家用过pyecharts就会知道，离线的时候pyecharts生成的图是打不开的；包含pyecharts的项目再用pyinstaller打包的时候是会出错的。这也是我踩过的大坑，现在一个个来说。把pyecharts生成的html用notepad++打开，可以看到它的来源是pyecharts网页里的渲染元素。如果访问不了网络，这个就打不开。这个会指定来源是py程序所在文件夹内的pyecharts文件夹。不过还要注意普通的pyecharts是不行的，需要替换下。评论加上邮箱，我会私发给你的。

2023-09-23 11:08:47 743 1

原创【数据分析】：表格单元格内容为列表的pandas读取和处理

更简单的方式是循环读取行，然后列表里元素转成集合，但是这样的话就会无法确定比对出来的元素在哪一行。所以用这样的方式配合index就可以找到所在的位置并输出。使用的正则表达式提取，问题是提取后生成的是多个身份证号，单元格的内容变成了列表方式。最近在分析一个表格，需要提取某一列里的身份证号，再与库进行比对。因此，这时候找到一个方法：用value_tolist列表转元素。比对的时候就可以多列循环进行比对了。

2023-09-23 10:53:11 256 1

原创【Android】读写txt文件：open failed: EACCES (Permission denied)

读的时候一直报错：open failed: EACCES (Permission denied)看来应该在初次运行时要有弹框：是否允许打开XX权限，才可以以后都解决这个问题。这两天在开发一个android app，用途是从手机里读写txt文件。后来是手动点进手机的权限，在存储里选择允许这个app，才可以。但是之前的这些代码应该也有用。

2023-09-05 17:06:21 1047

原创【PyQt5】QMessageBox对话框自动关闭的办法

一开始我尝试使用Dialog，但是发现Dialog还需要专门定义、引入，且容易产生其他问题，所以我的其他地方既然用的Qmessagebox，那么我就继续用好了。但是messagebox是模态对话框，需要用户点击后才进行后续操作，如果用户没有点击，程序就挂住了。尝试了ChatGPT，告诉我是添加按钮，按钮自动点击。但是我的想法是展示几秒后自动关闭。在最近使用PyQt5进行软件开发的时候，我想实现一个功能，就是提示用户程序正在处理中。当时运行成功了，但是我的对话框展示的是空白，就很奇怪，继续鼓捣查询。

2023-07-03 11:08:34 3381 2

原创【MYSQL】windows及Linux系统的mysql5.7和mysql8.0数据库密码重置

忘记mysql密码如何重置，包括5.7和8.0版本

2023-05-24 08:48:24 2266 1

xshzgjshpy1的博客