XError＿xiaoyu_社区达人页

2024年08月

• 08.22 15:22:36
  发表了文章 2024-08-22 15:22:36

  streamlit (python构建web)之环境搭建

  在微信订阅号中发现了一篇关于Streamlit的文章，激发了我的兴趣。Streamlit是一款专为数据科学家设计的开源Python库，能迅速将数据分析脚本转变为功能完备的Web应用。它简化了开发流程，支持轻松添加交互组件及动态展示图表、图像等，非常适合开发安全扫描工具。Streamlit基于Jupyter Notebook原理，通过Python脚本创建可视化和交互式的Web应用，易于部署分享。安装方法多样，可通过`pip install streamlit`快速安装，或通过Anaconda环境管理依赖。启动示例应用只需运行简单命令，即可体验自带的动画、绘图和数据展示等功能。

  

2024年07月

• 07.30 19:07:13
  发表了文章 2024-07-30 19:07:13

  ECMA6Script学习笔记(四)

  本文是对自己学习ES6的学习笔记回顾,后面是概要: 本文介绍了ES6中的rest和spread操作符。Rest操作符用于函数参数列表中，允许函数接收任意数量的参数，并将它们存储在一个数组中。Spread操作符则在调用函数或构造数组和对象时使用，允许将数组或对象展开为单独的元素或属性。文章通过代码示例展示了rest操作符如何收集剩余参数，以及spread操作符在合并数组和对象中的应用.

  
• 07.30 19:05:31
  发表了文章 2024-07-30 19:05:31

  ECMA6Script学习笔记(三)

  本文是对自己学习ES6的学习笔记回顾,后面是概要: 本文探讨了ES6中箭头函数的特点和使用。箭头函数简化了函数声明。关键特性是它们不绑定自己的this，而是继承自定义时的上下文。文中通过代码示例阐释了this指向问题，并展示了在实际开发中如何通过打印this来理解其指向。本文通过一个HTML页面的点击事件示例，演示了如何使用箭头函数处理事件和this的指向问题，强调了在不同上下文中this的不同

  
• 07.30 18:58:20
  发表了文章 2024-07-30 18:58:20

  ECMA6Script学习笔记(二)

  本文是对自己学习ES6的学习笔记回顾,后面是概要内容:ES6的解构赋值提供了一种从数组或对象中快速提取数据并赋值给变量的语法。数组解构允许按顺序赋值，支持默认值处理缺失元素；对象解构则需要变量名与属性名一致，或通过冒号指定新变量名。此外，解构赋值简化了函数参数的接收，提高了代码的可读性和可维护性。

  
• 07.30 18:55:53
  发表了文章 2024-07-30 18:55:53

  ECMA6Script学习笔记(一)

  本文是对自己学习ES6的学习笔记回顾,后面是概要内容neirECMAScript 6（ES6）是2015年发布的JavaScript语言重大更新，引入了箭头函数、模板字符串、let/const声明、解构赋值等特性，提升了开发效率.详细解释了let和const与var的差异，包括作用域、变量提升和全局作用域影响。同时，展示了模板字符串的多行和变量插入功能.

2024年05月

• 05.10 00:13:02
  发表了文章 2024-05-10 00:13:02

  JavaWeb之过滤器(Filter)与监听器(Listener)

  本文介绍了JavaWeb中的过滤器（Filter）和监听器（Listener）概念及其使用。过滤器主要用于拦截和处理Web资源请求，如进行编码设置、权限验证等，它在Servlet之前和之后执行。监听器则监听域对象（如ServletRequest、HttpSession、ServletContext）状态变化，分为创建/销毁监听和属性变化监听。监听器在Web.xml中注册后会在相应事件发生时自动执行，例如用于统计网站访问人数或初始化配置。
• 05.10 00:10:25
  发表了文章 2024-05-10 00:10:25

  JavaWeb中的Session和Cookie

  本文介绍了JavaWeb中的会话跟踪技术，主要讨论了Cookie和Session的概念、用途、设置与获取方法以及生命周期。Cookie是客户端技术，用于在用户浏览器中存储信息，通常用于保持用户登录状态，有效期可设置。Session则保存在服务器端，用于跟踪用户状态，例如登录信息，生命周期可通过设置最大不活动时间控制。两者之间的主要区别在于数据存储位置和安全性，Cookie数据在客户端，可能存在安全风险，而Session数据在服务器端，相对较安全但会占用服务器资源。
• 05.10 00:07:27
  发表了文章 2024-05-10 00:07:27

  JavaWeb之JSP(下)

  这篇文档是关于Java Web中JSP（Java Server Pages）技术的主要内容包括：JSP的常用命令使用,EL表达式的概念,和使用,JSTL表达式的概念和使用方式的总结.
• 05.09 23:58:30
  发表了文章 2024-05-09 23:58:30

  JavaWeb之JSP(上)

  这篇文档是关于Java Web中JSP（Java Server Pages）技术的介绍。作者首先说明了内容来源于个人在CSDN的原创文章，并遵循CC 4.0 BY-SA版权协议。文档主要内容包括：JSP的基本概念，它是一种动态网页技术，用于将页面逻辑与设计分离，便于开发快速、跨平台的Web应用。接着，讨论了JSP出现的原因，即为了改进servlet展示信息的不便。文档还详细介绍了如何在JSP中嵌入Java代码，包括声明、表达式和程序代码标签的使用，以及page指令的示例。
• 05.09 22:51:38
  发表了文章 2024-05-09 22:51:38

  JavaWeb之Servlet(下)

  本文主要介绍了JavaWeb开发中关于请求、响应、会话和Servlet3.0注解的相关知识。首先讲解了请求(Request)的常用方法，以及处理请求乱码问题的几种方式。接着讨论了响应(Response)的方法，，以及设置全局初始化参数。然后介绍了会话(Session)的概念，包括其生命周期、如何设置和获取初始化参数，并对比了全局初始化参数和Servlet3.0的`@WebServlet`注解。文中给出了具体的代码示例和测试结果，帮助读者更好地理解和掌握这些概念。
• 05.09 22:44:27
  发表了文章 2024-05-09 22:44:27

  JavaWeb之Servlet(上)

  本篇博文介绍了JavaWeb中Servlet的基本概念和应用。Servlet是用于交互式浏览和修改数据、生成动态Web内容的Java程序，通常运行在支持Java的应用服务器上。文章讲解了Servlet的工作模式，包括客户端请求、服务器调用Servlet以及响应返回客户端的过程。此外，还提到了Servlet API，特别是doGet和doPost方法用于处理请求和响应。作者通过创建第一个Servlet的步骤，展示了如何实现Servlet接口并配置web.xml文件。最后，文章简述了Servlet的工作原理和生命周期，强调了Servlet的单例特性以及初始化、服务和销毁的过程。
• 05.09 22:32:53
  发表了文章 2024-05-09 22:32:53

  如何进行资产梳理(上)

  本文介绍了资产梳理的重要性，特别是对于蓝队成员在护网行动中的准备工作。资产梳理包括安全防护设备、对外开放服务项目和项目外包业务流程的详细信息整理，如设备型号、版本、责任人等。此外，还提到了两种资产梳理方式：一是关注业务资源、设备资产和第三方服务信息；二是识别和管理账号权限、互联网风险、后台目录风险、旁站风险、C段风险和端口风险。文章强调了暴露面收敛的重要性，如关闭非必要服务和端口，以降低安全风险。最后，作者总结了资产梳理的步骤，认为这与Web信息收集类似，是蓝队防御的关键环节。
• 05.09 19:08:40
  发表了文章 2024-05-09 19:08:40

  Linux系统入侵排查(三)

  本文介绍了Linux系统入侵排查的相关知识。首先解释了进行系统入侵排查的原因，即当企业遭受黑客攻击、系统崩溃或其他安全事件时，需要迅速恢复系统并找出入侵来源。接着，重点讲述了日志入侵排查的重要性，因为日志文件记录了系统的重要活动，可以提供入侵行为的线索。
• 05.09 17:39:38
  发表了文章 2024-05-09 17:39:38

  Linux系统入侵排查(二)

  本文介绍了Linux系统入侵排查的步骤，包括检查历史命令记录、可疑端口和进程、开机启动项以及定时任务。作者强调了了解这些技能对于攻防两端的重要性，并提供了相关命令示例，如查看`/root/.bash_history`记录、使用`netstat`分析网络连接、检查`/etc/rc.local`和`/etc/cron.*`目录下的可疑脚本等。此外，还提到了如何查看和管理服务的自启动设置，以判断是否被恶意篡改。文章旨在帮助读者掌握Linux服务器安全维护的基本技巧。
• 05.09 12:34:45
  发表了文章 2024-05-09 12:34:45

  Linux系统入侵排查(一)

  本文探讨了在遭遇黑客入侵或系统异常时进行应急响应和排查的必要性，重点介绍了基于Kali Linux的入侵排查步骤。排查的目标是找出潜在的恶意活动，恢复系统的安全性，并防止未来攻击。总结来说，进行Linux系统入侵排查需要密切关注账号安全，跟踪历史命令，及时识别并消除安全隐患。同时，保持对最新攻击手段和技术的了解，以便更好地防御和应对潜在的网络安全威胁。
• 05.08 20:54:39
  发表了文章 2024-05-08 20:54:39

  HTTP协议与Tomcat在IJ中配置

  本文是对自己学习JavaWeb学习的笔记的总结,添加了一些自己的东西,然后进行一次复盘,并加深一下学习的理解和印象.其中内容主要包括对http协议的详细介绍,java常见服务器的初步介绍,以及IJ旧版和新版的tomcat服务器的配置图解教程
• 05.08 20:28:30
  发表了文章 2024-05-08 20:28:30

  某小学AK，SK泄露导致横向到云主机控制台

  本文是一篇关于网络安全的漏洞分析报告，首先声明所有漏洞已修复，并警告读者不得用于非法活动,文章是关于云服务安全的，分享了一个实际案例，其中一个小学的云服务Access Key ID和Secret Access Key被泄露，导致攻击者能够接管云主机控制台。文章强调了Access Key和Secret Access Key的重要性，它们是验证用户身份和保证服务安全的关键，不应暴露给未经授权的人员。一旦泄露，攻击者可能进行数据泄露、篡改或删除操作，甚至控制整个云基础设施。作者提供了资产证明、漏洞利用过程和修复及预防措施，提醒读者加强云服务安全管理和监控。
• 05.08 17:27:54
  发表了文章 2024-05-08 17:27:54

  如何从小程序到教务系统

  本文是一篇关于网络安全的漏洞分析报告，首先声明所有漏洞已修复，并警告读者不得用于非法活动,分享了一个从微信小程序到教务系统漏洞发现和利用的案例。首先，作者提到大部分小程序支持微信登录，无需账号密码，这为测试提供了入口。在分析一个特定的小程序时，作者发现一个名为“培训报名”的功能中，通过改变`studentId`参数可以访问到其他用户的敏感信息，如姓名、身份证等，揭示了越权漏洞（漏洞点一）。接着，作者利用这些信息尝试登录小程序并成功访问到其他功能，如查看缴费发票，进一步发现了另一个越权漏洞（漏洞点二）。
• 05.08 17:10:10
  发表了文章 2024-05-08 17:10:10

  小白如何挖到自己的第一个漏洞

  首先声明本篇文章采用的漏洞案例均已上报并且已修复,本篇文章使用案例介绍以及如何进行搜集的方法进行介绍小白如何挖到第一漏洞,旨在帮助白帽子快速度过前期没有实战经历的难题
• 05.08 16:37:18
  发表了文章 2024-05-08 16:37:18

  开发实战(6)--对fofa收集的漏洞资产使用poc进行批量验证

  主要还是围绕渗透测试的流程进行开发,一般在信息收集后,在渗透测试后,在发现通用型漏洞时,我们为了节省时间,可以通过写批量脚本来信息收集,然后使用poc来进行批量验证,本篇是一个编写批量验证python的示例.
• 05.08 16:01:33
  发表了文章 2024-05-08 16:01:33

  开发实战(5)--如何编写fofa脚本进行资产的信息收集

  主要还是围绕渗透测试的流程进行开发,一般在信息收集后,在渗透测试后,在发现通用型漏洞时,我们为了节省时间,可以通过写批量脚本来信息收集,然后使用poc来进行批量验证. 作为一个fofa工程师,那么我们当然是使用fofa进行信息搜集喽,刚好也借着这个机会熟悉一下fofa的API文档,为后面写利用工具做好铺垫
• 05.08 15:54:58
  发表了文章 2024-05-08 15:54:58

  安全开发实战(4)--whois与子域名爆破

  本文介绍了在网络安全渗透测试中，如何使用Whois查询和子域名爆破来收集目标组织的信息。Whois查询可以获取域名的注册者联系信息、注册时间、DNS服务器等关键数据，而子域名爆破则能发现未公开的网络资产。Whois查询可以通过Python的`python-whois`库实现，它能返回大量关于域名的详细信息。子域名爆破通常涉及创建自定义字典，使用Python的`socket`模块将字典中的字符串与主域名组合，然后尝试解析IP地址，找到有效子域名。
• 05.08 15:48:03
  发表了文章 2024-05-08 15:48:03

  安全开发实战(3)--存活探测与端口扫描

  本篇主要是对上一篇反查ip后,对整个ip段或是反查的ip进行存活的端口监测,确定目标主机开放的端口以及对应的服务,通过两种不同的方式使用python进行编写批量监测脚本,两种方式各有各的好处吧.
• 05.08 15:41:43
  发表了文章 2024-05-08 15:41:43

  安全开发实战(2)---域名反查IP

  本文介绍了域名与IP地址的关系以及域名反查IP的作用。通过DNS，域名与IP地址相互映射，方便用户访问网络资源。在渗透测试中，反查IP用于确定服务器真实地址、进行目标侦察和安全性评估，也能检测DNS劫持。文中提供了一些Python代码示例，演示了如何进行域名反查IP和批量处理，并强调在处理时要注意去除换行符以避免错误。
• 05.08 15:37:30
  发表了文章 2024-05-08 15:37:30

  安全开发实战(1)--Cdn

  本文介绍了关于渗透测试中如何检测网站是否使用CDN（内容分发网络）的方法。CDN是一种优化网络内容传输的技术，通过在多个地理位置部署服务器节点，将网站内容缓存，以加快内容加载速度。在渗透测试中，网站使用CDN可能会影响IP地址的判断和进一步渗透,通过两种方式来进行判断,最后经过不断改进与调试,达到批量监测的功能。

  
• 05.08 15:30:21
  发表了文章 2024-05-08 15:30:21

  免杀开发基础(1)

  本文是关于Windows恶意软件开发的技术介绍，主要包括动态函数加载和执行、Shellcode执行技术以及注入技术。动态函数加载避免了静态链接到特定库，增加了分析难度。Shellcode执行涉及通过指针、内存分配和回调函数等方式。注入技术如APC注入，包括枚举进程线程、分配内存、写入有效负载等步骤。此外，文章还提到了使用异或加密来隐藏Shellcode，以规避静态特征检测。总的来说，文章探讨了免杀技术的基础知识，强调了在恶意软件开发中灵活性和创意的重要性。
• 05.08 15:04:42
  发表了文章 2024-05-08 15:04:42

  记第一次eudsrc拿到RCE(下)

  本文是关于网络安全的漏洞测试报告。作者强调所有漏洞已上报并修复，提醒读者不得用于非法目的。文章介绍了三种类型的漏洞：信息泄露、任意文件读取和远程命令执行（RCE）。通过前台CLI命令执行漏洞获取管理员密码后，发现了后台的任意文件读取和RCE漏洞。最后，提出了修复建议，包括限制文件访问、严格验证用户输入以及避免不安全的编程实践。鼓励持续学习和细心观察，以发现潜在的安全问题。
• 05.08 15:01:25
  发表了文章 2024-05-08 15:01:25

  记第一次eudsrc拿到RCE(上)

  本文是一篇关于网络安全的漏洞分析报告，首先声明所有漏洞已修复，并警告读者不得用于非法活动。文章介绍了通过信息收集和复现研究，发现了一个CLI命令注入和RCE漏洞。这两个漏洞分别存在于登录页面的用户输入和后台接口中，允许攻击者执行恶意命令。作者提供了POC（Proof of Concept）代码，并展示了如何利用这些漏洞。最后，给出了修复建议，包括更新设备固件、加强访问控制、限制不必要的服务等，并强调了持续学习和关注安全公告的重要性。
• 05.08 14:27:16
  发表了文章 2024-05-08 14:27:16

  最新版Kali虚拟机安装和汉化中文教程

  本文是对渗透测试安全人员经常使用的测试系统的最新版进行的一次系统配置下载安装配置,同时包含汉化的教程,是对自己熟悉系统安装环境配置的一次总结
• 05.08 03:13:51
  发表了文章 2024-05-08 03:13:51

  CTFHuB靶场命令执行题型过关总结

  本篇博文是对自己学习rce漏洞后,因为没有进行实战练习,仅仅停留在概念上,因此做了一次靶场实战练习,来帮助自己熟悉rce漏洞的利用类型以及利用方法,写下这篇文章对此做个总结..其实关于这个练习已经过去了很久了,但我还是要那出来进行一次复习吧,对与命令执行相关的一些操作,对自己在漏洞挖掘方面能有更多的帮助,通过这次练习也对自己关于代码审计或是关于linux命令的常见命令的同意替换有了更多的了解.
• 05.08 02:50:31
  发表了文章 2024-05-08 02:50:31

  记一次应急靶场实战--web1

  本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试.
• 05.08 02:43:27
  发表了文章 2024-05-08 02:43:27

  网安之PHP基础练习

  本博文,主要是对自己在学校PHP基础第5节课后,对作业题目的题解,学习和使用php其实这对于后续漏洞挖掘与发现利用很大的帮助,现在在很多网站都还在使用php在做网站搭建的一部分.所以学习和利用还是很有用必要的.在进行题目练习的过程中,发现自己对于学习过的html知识点,开始出现了遗忘,然后进行自己查询资料,并一点一点进行题目的完成,自己也有很多的收获,在做完后,给了自己很多的继续学习下去的动力,发现php是一门很有趣的编程语言.
• 05.08 02:29:47
  发表了文章 2024-05-08 02:29:47

  网安之python基础学习练习(2-3)

  本篇博文是关于网络安全课程中Python编程的学习实践总结。分享关于两个练习题目及其解决方案。第一个题目要求用户输入姓名并选择一项武技，使用for循环和if判断实现。第二个题目是删除列表中特定值（如'cat'）的所有元素，作者展示了两种方法，包括列表推导式和常规循环删除。接下来，文章还介绍了如何编写一个函数，随机生成一副扑克牌（除大小王），并返回一张随机抽取的牌。
• 05.08 02:23:04
  发表了文章 2024-05-08 02:23:04

  网安之python基础学习练习(1)

  本篇博文是关于网络安全课程中Python编程学习的总结，主要内容包括：1) 常见数据类型的回顾和应用，如数字（整数、浮点数、复数）、字符串、列表、元组、集合、字典和布尔类型；2) 数据类型的实例操作，展示如何创建和使用这些类型；3) 数值类型之间的加、减、乘、除和模运算；4) 列表和元组的索引访问；5) 字典的修改，如查看键和值，以及更新值。文章强调了基础知识的重要性，并以“自满必定失败，骄傲必定后悔”作为每日一言。
• 05.07 23:51:55
  发表了文章 2024-05-07 23:51:55

  MySQL最新版8.1.0安装配置教程

  本文章,是对自己在安装最新版MySQL最新版8.1.0安装配置的一个详细过程吧,中间也有很多不清楚的地方,但是经过自己的多次对,工具环境以及软件环境的配置,现在对于这个的安装也算得心应手吧,不仅仅是一种总结,更是对自己经验的一种积累.
• 05.04 15:46:11
  发表了文章 2024-05-04 15:46:11

  Sqli-labs靶场搭建

  本文章是在自己在使用新版phpstudy搭建靶场过程中遇到了很多问题,但在查询无果后,决定尝试旧版的phpstudy看能否成功,很幸运,成功了,也并不是网上的教程,说是php必须在5.2及以下.我使用的是5.4版本的.是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养
• 05.04 15:35:36
  发表了文章 2024-05-04 15:35:36

  封神台----为了女神小芳

  本次实战是对自己在学习mysql数据库前对于数据库的一些基础的学习与复习,并且在实战过程中,我也熟悉了之前没有使用过的Sqlmap工具的使用,对我来说是一种很大的提高,也培养了自己独立思考和学习的能力,为自己今后的学习打好了基础.
• 05.04 14:50:34
  发表了文章 2024-05-04 14:50:34

  VMware的三种连接模式

  在学习网安的过程中,我们需要通过实战来模拟来练习我们的技术能力,而我们私人进行测试容易吃牢饭,不仅如此我们在学习过程中会使用到很多的操作系统,我们也不可能去买多台电脑来去使用,不太现实,我们为了避免这种情况,我们需要通过虚拟机来安装不同的系统来使用.本篇文章是对于虚拟机的三种链接方法进行详细的介绍,我对使用VMware虚拟机过程中在连接过程中遇了一些问题后,觉得需要对这方面的知识进行学习和总结,也是在学习中,之前的我对于实际操作的部分很熟练,但是对于理论方面的知识其实不是很了解,现在也是对我短板的一个弥补吧,收获满满.
• 05.04 14:37:17
  发表了文章 2024-05-04 14:37:17

  渗透测试基础之永恒之蓝漏洞复现

  对于当下来说我们使用的电脑大多是win11或是win10,还是有很多政府和公司,或是学校中使用的系统还停留在win7系统.今天是我进行渗透测试的第一次实战,通过永恒之蓝漏洞利用对win7系统进行渗透,当然也会对渗透测试的流程进行一个详细的介绍.,渗透测试的流程信息较为详细,内容较多,如果想看实战流程,直接通过通过这次的渗透测试,虽然不是对web间进行渗透测试,但是通过实战能够使我能够熟悉渗透测试的流程,当然在实践过程中也出现了很多问题,例如从kali上传文件到win主机路径出现问题,配置攻击模块时将ip地址设置错误,但在我不断的思考和尝试下,最终解决了问题,对于我的解决问题的能力也是一种提升.
• 05.04 14:19:35
  发表了文章 2024-05-04 14:19:35

  IJ中PHP环境的搭建和使用教程

  搭建PHP环境与配置IDE,在学习网络安全的过程中，了解并掌握编程语言是必要的。本文主要介绍了如何搭建PHP开发环境以及在IntelliJ IDEA (IJ) 中配置PHP环境，以方便进行PHP代码的编写和测试。本章是在学习网络安全过程中,我们需要对两门编程语言有所了解,今天要进行的就是其中的一门.
• 05.04 14:11:20
  发表了文章 2024-05-04 14:11:20

  JavaScript编程语法练习

  本篇文章是对于javaScript中if ,switch,while ,do-while,,for语法的作业练习.对于我来说也是对自己知识掌握的一种检验.是对js的基础语法进行的一次练习,通过有趣的示例进行练习,使得对于代码能够增加印象,对于知识的掌握更加透彻.