士别三日wyx_社区达人页

个人头像照片
士别三日wyx
已加入开发者社区1057

勋章 更多

个人头像照片
专家博主
专家博主
个人头像照片
星级博主
星级博主
个人头像照片
技术博主
技术博主
个人头像照片
初入江湖
初入江湖

成就

已发布182篇文章
7条评论
已回答0个问题
0条评论
已发布0个视频
github地址

我关注的人 更多

技术能力

兴趣领域
擅长领域
技术认证

暂时未有相关云产品技术能力~

CSDN top200,华为云享专家,阿里云博客专家,网络安全领域优质创作者

暂无精选文章
暂无更多信息

2021年12月

  • 12.31 14:50:14
    发表了文章 2021-12-31 14:50:14

    SQLmap常用命令/使用教程

    Lmap是一款自动化SQL注入神器,用于SQL注入漏洞的检测和利用,支持多种数据库
  • 12.31 14:43:48
    发表了文章 2021-12-31 14:43:48

    ARP协议工作原理及ARP欺骗(中间人攻击)

    网络中的数据传输所依赖的是MAC地址而不是IP地址,ARP协议负责将IP地址转换为MAC地址 ARP协议工作原理 ARP协议规定,每台计算机都需要一个ARP表,用来保存IP地址和MAC地址的映射关系
  • 12.31 14:43:05
    发表了文章 2021-12-31 14:43:05

    iptables防火墙工作原理及简单配置访问策略

    iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也就是我们常说的四表五链 四表
  • 12.31 14:41:46
    发表了文章 2021-12-31 14:41:46

    DHCP协议工作原理(分配IP地址的方式)

    DHCP工作在应用层,使用UDP协议工作,负责给局域网内的用户分配IP地址 分配IP地址的方式有三种:手动配置,自动配置,动
  • 12.31 14:40:41
    发表了文章 2021-12-31 14:40:41

    HTTP协议工作原理(与HTTPS的区别)

    HTTP是超文本传输协议,由请求和响应构成,HTTP协议永远都是客户端发起请求,服务端回送响应 HTTP协议工作原理 首先,DNS会解析域名获
  • 12.31 14:40:07
    发表了文章 2021-12-31 14:40:07

    TCP协议三次握手/四次挥手

    CP是传输控制协议,需要建立链接,通过三次握手和四次挥手保证数据传输的可靠性 三次握手过程
  • 12.31 14:39:13
    发表了文章 2021-12-31 14:39:13

    路由器/交换机工作原理(RIP/OSPF协议工作原理)

    交换机工作原理 交换机负责局域网内主机之间的数据转发
  • 12.31 14:38:37
    发表了文章 2021-12-31 14:38:37

    Linux常用命令

    进程/服务/端口 ps -ef -- 查看进程 -e 全部进程 -f 全部列
  • 12.31 14:36:16
    发表了文章 2021-12-31 14:36:16

    应急响应排查思路

    应急响应是指客户的机器遭到非法入侵后采取一系列措施,从而将损失降到最小 应急响应的排查思路主要有 系统账号
  • 12.31 14:33:57
    发表了文章 2021-12-31 14:33:57

    Linux日志分析

    日志分析的目的在于分析攻击者的行为,锁定问题出现的地方,进行针对性的解决 Linux系统的日志存放在/var/log目录下,常用的有
  • 12.31 14:32:16
    发表了文章 2021-12-31 14:32:16

    Windows系统日志分析

    Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种
  • 12.31 14:29:16
    发表了文章 2021-12-31 14:29:16

    Windows系统(cmd)常用命令

    win+r打开运行窗口,输入cmd打开cmd命令窗口 用户
  • 12.31 14:18:49
    发表了文章 2021-12-31 14:18:49

    常用函数(PHP/Java/MySQL)

    PHP常用函数 文件包含函数 include();
  • 12.31 14:17:47
    发表了文章 2021-12-31 14:17:47

    渗透测试流程&信息收集

    渗透测试是一种评估方法,一种通过模拟黑客的攻击方式,来评估网站安全的方法 渗透测试流程分为7个阶段
  • 12.31 14:17:02
    发表了文章 2021-12-31 14:17:02

    Web服务器(中间件)漏洞

    Web服务器又叫Web中间件,常见的Web中间件有 IIS Apache Nginx
  • 12.31 14:14:59
    发表了文章 2021-12-31 14:14:59

    Windows系统利用5次shift维权漏洞复现

    操作系统: Windows 7 旗舰版 工具: kali系统的msfconsole 5次shift维权原理
  • 12.31 14:02:04
    发表了文章 2021-12-31 14:02:04

    提权方式及原理

    通过getshell控制Web服务器后,通常权限很低,需要通过一些方式来提升权限 提权方式 系统本地漏洞提权
  • 12.31 14:01:28
    发表了文章 2021-12-31 14:01:28

    Linux脏牛漏洞提权复现

    操作系统: Linux ( CentOS 6.5) Web服务: PHP+Apache
  • 12.31 12:32:39
    发表了文章 2021-12-31 12:32:39

    Windows2003系统漏洞提权复现

    操作系统: Microsoft Windows Server 2003 Web服务器: IIS V6.0 第一步,将大马文件上传至服务器根目录
  • 12.31 10:36:25
    发表了文章 2021-12-31 10:36:25

    Struts2反序列化漏洞复现

    环境: vulhub 环境搭建 进入s2-048目录
  • 12.30 18:40:15
    发表了文章 2021-12-30 18:40:15

    反序列化漏洞原理/防御

    列化就是将对象转换成字节流,可以更方便的将数据保存到本地文件 反序列化就是将字节流还原成对象
  • 12.30 18:39:47
    发表了文章 2021-12-30 18:39:47

    代码执行漏洞原理/防御

    原理 代码执行漏洞是指 攻击者利用 将字符串转化成代码的函数 , 进行代码注入
  • 12.30 18:39:22
    发表了文章 2021-12-30 18:39:22

    命令执行漏洞

    原理 攻击者利用执行系统命令的函数 , 将恶意的系统命令拼接到正常的命令中,从而造成命令执行攻击 比如使用Web服务器的权限 执行系统命令,读写文件
  • 12.30 18:22:28
    发表了文章 2021-12-30 18:22:28

    SSRF(服务端请求伪造)原理/防御

    原理 攻击者伪造服务器获取资源的请求,通过服务器来攻击内部系统 比如端口扫描,读取默认文件判断服务架构,或者配合SQL注入等其他漏洞攻击内网的主机
  • 12.30 18:21:40
    发表了文章 2021-12-30 18:21:40

    XXE漏洞原理/防御

    原理 XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 , 比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务 防御
  • 12.30 18:21:10
    发表了文章 2021-12-30 18:21:10

    XSS漏洞原理/方式/防御

    SS又叫跨站脚本攻击 , 攻击的对象是客户端 原理 攻击者在Web页面插入恶意JS代码,用户浏览网页的时候,JS代码会被执行,从而攻击正常用户
  • 12.30 18:20:43
    发表了文章 2021-12-30 18:20:43

    文件包含漏洞原理/利用方式/应对方案

    原理 用户利用文件包含函数上传可执行脚本文件,造成信息泄露或任意命令执行
  • 12.30 17:58:26
    发表了文章 2021-12-30 17:58:26

    DVWA-CSRF-low级别

    是一个修改密码的页面 , 输入两次相同的密码即可修改密码 , 我们先看源码 , 获取了输入框的密码后 , 从Cookie中获取了当前登录的用户名 , 就直接修改密码 , 修改之前并没有验证用户身份
  • 12.30 17:56:35
    发表了文章 2021-12-30 17:56:35

    CSRF漏洞原理/防御

    CSRF( 跨站请求伪造 ) 原理 CSRF是指攻击者利用已登录的用户身份 , 伪造用户请求 , 从而执行非法操作 触发点/检测
  • 12.30 17:56:01
    发表了文章 2021-12-30 17:56:01

    XSS-Game level 13

    第十三关利用 COOKIE 使用 事件绕过
  • 12.30 17:39:09
    发表了文章 2021-12-30 17:39:09

    XSS-Game level 8

    第八关过滤的很严 , 只能编码绕过了
  • 12.30 15:42:22
    发表了文章 2021-12-30 15:42:22

    XSS-Game level 7

    第七关过滤了 script , 但未过滤尖括号 '<','>' , 使用双写绕过
  • 12.30 15:40:10
    发表了文章 2021-12-30 15:40:10

    XSS-Game level 6

    第六关未过滤大小写 , 使用大小写绕过
  • 12.30 15:37:18
    发表了文章 2021-12-30 15:37:18

    XSS-Game level 5

    第五关过滤了 <script> 和 on 事件 , 使用 a 标签绕过
  • 12.30 15:34:48
    发表了文章 2021-12-30 15:34:48

    XSS-Game Level 4

    第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过
  • 12.30 15:32:58
    发表了文章 2021-12-30 15:32:58

    XSS-Game Level 2

    第二关将结果拼接到了value属性中 , 我们插入JS脚本时手动闭合双引号即可
  • 12.30 15:30:58
    发表了文章 2021-12-30 15:30:58

    XSS-Game Level1

    第一关算是送分题 , 没有任何过滤 , 传递一个弹窗的JS脚本即可
  • 12.30 15:21:33
    发表了文章 2021-12-30 15:21:33

    IIS6.0目录解析漏洞原理/复现

    目录解析漏洞原理 IIS6.0版本存在目录解析漏洞 , ,asp格式命名的文件夹,其目录下的所有文件都会被IIS当做asp文件来解析 漏洞复现 环境准备 Windows 2003系统 , IIS 6.0 服务
  • 12.30 15:16:39
    发表了文章 2021-12-30 15:16:39

    IIS6.0文件解析漏洞原理/复现

    IIS文件解析漏洞原理 IIS6.0存在文件解析漏洞 , 文件名中分号( ; )后面的内容不会被解析 比如 a.asp;jpg 文件 会被IIS解析成 a.asp 这个漏洞是逻辑上的问题,IIS6.0只是简单的根据扩展名来识别文件类型 , IIS底层使用C++写的,分号在C++中是结束符号 , 解析文件名读取到分号的时候,IIS会认为代码已经结束,从而停止解析
  • 12.30 15:12:33
    发表了文章 2021-12-30 15:12:33

    Upload LABS Pass-11

    第十一关在服务端使用了白名单 , 但文件保存路径外漏 , 可以使用00截断 准备一个 11.php 文件 , 内容为一句话木马
  • 12.30 15:10:35
    发表了文章 2021-12-30 15:10:35

    文件上传漏洞原理/方式/防护

    文件上传漏洞是获取服务器权限最快也是最直接的一个漏洞 原理 文件上传漏洞是指用户上传可执行脚本文件 , 并通过脚本文件控制Web服务器
  • 12.30 14:20:59
    发表了文章 2021-12-30 14:20:59

    Upload LABS Pass-10

    第十关在后端使用了黑名单 , 将匹配到的后缀名替换为空,使文件不能使用 , 但其只过滤了一遍 , 我们可以使用双写后缀名的方式绕过黑名单 准备一个 10.pphphp 文件 , 内容为一句话木马
  • 12.30 14:18:47
    发表了文章 2021-12-30 14:18:47

    SQLi LABS Less-5

    第五关请求方式为GET请求 , 注入点为 单引号字符串型注入 , 注入类型为 报错注入 报错注入常用(我觉得)的是 updatexml() , 该函数的第2个参数包含特殊字符时会报错,并将第2个参数的内容返回到错误信息中
  • 12.30 14:12:01
    发表了文章 2021-12-30 14:12:01

    SQL注入-报错注入

    页面没有显示位 , 但有数据库的报错信息时 , 可使用报错注入 报错注入是最常用的注入方式 , 也是使用起来最方便(我觉得)的一种注入方式
  • 12.30 14:07:04
    发表了文章 2021-12-30 14:07:04

    SQL注入-联合注入

    页面有显示位时 , 可用联合注入 本次以 SQLi 第一关为案例
  • 12.30 13:09:56
    发表了文章 2021-12-30 13:09:56

    SQL注入-脱库

    网站存在SQL注入时,可以对其进行脱库,即获取数据库表中的内容,比如用户的敏感信息 注意 : MySQL5.0以后 才有information_schema这个默认数据库 一库三表六字段
  • 12.30 13:07:55
    发表了文章 2021-12-30 13:07:55

    SQL注入-注入点

    SQL注入被称为漏洞之王 , 是最常用的漏洞之一 , 其中PHP在这方面的贡献最大 SQL注入原理 用户在参数中插入恶意的SQL语句 , 破坏原有的SQL语法结构 , 从而执行攻击者的操作 SQL注入点
  • 12.30 13:06:04
    发表了文章 2021-12-30 13:06:04

    SQLi LABS Less-20

    第二十关请求方式为POST请求 , 注入点为 单引号字符串型 , 注入方式为 联合注入 通过 cookie 注入
  • 12.30 13:00:18
    发表了文章 2021-12-30 13:00:18

    SQLi LABS Less-17

    第十七关请求方式为POST请求 , 注入点为 单引号字符型注入 , 注入方式为 报错注入 第一步,判断注入类型
  • 发表了文章 2022-11-23

    多样性数据源报表如何做?

  • 发表了文章 2022-10-12

    SPL是怎么处理好数据中台的?

  • 发表了文章 2022-09-20

    SQL 嵌套 N 层太长太难写怎么办?

  • 发表了文章 2022-09-05

    现在啥软件都有开源,BI 呢?

  • 发表了文章 2022-01-20

    如何科学的使用无影云电脑

  • 发表了文章 2022-01-05

    《Python入门到精通》函数

  • 发表了文章 2022-01-05

    《Python入门到精通》流程控制语句

  • 发表了文章 2022-01-05

    《Python入门到精通》运算符

  • 发表了文章 2022-01-05

    Python字典常用函数使用详解(内附详细案例)

  • 发表了文章 2022-01-05

    《Python入门到精通》Python基础语法

  • 发表了文章 2022-01-05

    python 列表 remove()函数使用详解

  • 发表了文章 2022-01-05

    客户要求1000块做个百度,Python10行代码解决

  • 发表了文章 2022-01-05

    《计算机组成原理》BCD码 8421编码原理剖析

  • 发表了文章 2022-01-05

    千万不要说联通的网络不好……

  • 发表了文章 2022-01-05

    10年程序员怒斥:只会八股文没用,公司招你来是做项目的,不是背题的……

  • 发表了文章 2022-01-05

    高级程序员解决问题的思维模式和普通程序员的区别在哪里?

  • 发表了文章 2022-01-05

    用Python写了一个谈恋爱AA公式后,我被分手了

  • 发表了文章 2022-01-05

    解密常见的社会工程学攻击

  • 发表了文章 2022-01-05

    Windows系统 services.msc命令详解,Windows命令行查看本地服务

  • 发表了文章 2022-01-05

    Windows系统 cleanmgr命令详解,Windows命令行清理磁盘

正在加载, 请稍后...
滑动查看更多
正在加载, 请稍后...
暂无更多信息
正在加载, 请稍后...
暂无更多信息