- 博客(1491)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 DDOS攻击为何永不过时?
DDOS比DOS更诡异的就是分布式,DDOS控制的僵尸电脑是全球的,有本地的,有国内的,还有国外的,很难分辨出谁真谁假,一般的中小企业的服务器根本扛不住大量的DDOS攻击,所以这也是DDOS攻击一直不过时的原因。好比如一家超市最多只能容许1万个人购物,但有一天娱乐群顶流明星坤哥来了超市,从外地带来了10万个粉丝购物,超市的工作人员肯定手忙脚乱的,丢东西算错账在所难免,超市的运营就会崩溃。
2023-12-04 08:50:53
2689
原创 为什么要学网络安全?详解3大理由!学习网络安全技术的意义是什么?
在以前,很多政企单位在进行 IT 部门及岗位划分时,只有研发和运维部门,安全人员直接归属到基础运维部;而现在,越来越多单位为了满足国家安全法律法规的要求,必须成立独立的网络安全部门,拉拢各方安全人才、组建 SRC(安全响应中心),为自己的产品、应用、数据保卫护航。短短几年间,网络安全工程师不仅成为了正规军,还直接跃升为国家战略型资源,成为众多企业“一将难求”的稀缺资源。根据腾讯安全发布的《互联网安全报告》,目前中国网络安全人才供应严重匮乏,每年高校安全专业培养人才仅有3万余人,而。
2025-06-27 11:38:11
518
原创 实战记一次溯源真实案例—网络安全零基础入门到精通实战教程!
此次溯源反制主要还是依靠平时的积累以及社工库的强大,其实通过社工库搜索到许多的信息,但是都因为年龄不符合(50-70岁)所以都被筛出来了,我这里其实并没有很细心而且使用的社工库都是免费的,如果使用氪金的那结果说不定就不一样了,所以还得有团队,有队友才能更强大走的更远。此次溯源结果虽然有点收获,但是我猜测此云主机已经被劫持为肉鸡当成跳板机再使用了,因为从微步在线给出的信息来看此网站已经多次发起攻击但是作为一个红队人员肯定不会使用这么chun的攻击手法来进行攻击。
2025-06-27 11:37:29
455
原创 一文教会你HVV红队开发基础-基础免杀!网络安全零基础入门到精通实战教程!
本文总结了5种常见的免杀技术,主要是静态的免杀。其中c#搭配静态字符串加密,异或加密,沙箱绕过,EtwpCreateEtwThread上线的技术,vt检测结果为13/68因为还是基于开源的恶意工具改的,其中依旧有一些其他的静态特征影响,单独出来实现效果应该会更好一些。c++的程序使用disableETW,shellcode加密,隐藏导入表的免杀方式,vt检测结果为4/68,比想象的好很多。c++的程序更换shellcode的加密方式过definder应该没有问题。静态的免杀还是比较容易的。
2025-06-24 15:35:48
1091
原创 渗透测试常用反弹shell方法(如何渗透测试反弹shell)—Windows篇渗透测试!
反弹Shell技术简介 反弹Shell是一种远程控制技术,分为正向和反向两种类型。正向Shell由攻击机主动连接目标机,但易受防火墙限制;反向Shell则由目标机主动连接攻击机,更易绕过安全防护。 常用反弹Shell方法包括: NetCat(NC):需上传到目标机,通过监听端口实现控制 mshta.exe:利用Windows的HTML应用程序执行恶意脚本 rundll32.exe:调用DLL文件实现远程控制 文章详细介绍了这些技术的具体实现步骤,包括使用Metasploit和Cobalt Strike等工具
2025-06-24 15:20:01
798
原创 什么是“网络空间安全”?这个行业就业情况如何?找工作容易吗?
网络空间安全指的是保护网络系统、设备、程序和数据免受未经授权的访问、破坏、篡改、泄露和滥用等各种威胁和风险的能力。它是保障国家安全、社会稳定、经济发展和个人隐私安全的重要方面。
2025-06-19 17:04:30
572
原创 2025国家护网HVV高频面试题总结来了(题目+回答)
攻击者通过在输⼊的SQL查询中注⼊恶意代码,来执⾏他们想要的操作,⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证和清理的情况下,例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊,开发者应该使⽤参数化查询和预编译的查询,对⽤户的输⼊进⾏严格的验证和清理。tomcat⽇志默认路径:在安装⽬录下的logs⽂件夹下nginx的⽇志主要分为access.log、error.log两种,可通过查看nginx.conf⽂件来查找相关⽇志路径。
2025-06-19 15:29:13
895
原创 【超全超详细】2W字零基础小白黑客学习路线,知识体系(附学习路线图)
这是外网曾经一篇很火的关于如何成为一个黑客的文章,虽然里面提到的一些技术可能有些过时,但就学习方法和思想上,仍然值得我分享给大家。关注大师的言行, 跟随大师的举动, 和大师一并修行, 领会大师的意境, 成为真正的大师。这可以追溯到几十年前,那时候第一代分时微型计算机才刚刚诞生, 而 ARPAnet 的实验也才刚展开。那时的编程专家和组网高手建立了一个具有共享性质的文化社群, “hacker” 这个名词就是其中的成员创造的。
2025-06-18 17:49:13
577
原创 做网安这几年,接私活赚的是我工资的3倍,这些门道没几人知道
网络安全工程师接私活经验分享 一位9年经验的网络安全工程师分享了自己利用业余时间接私活的经历,私活收入达到工资的3倍。文章详细介绍了网安私活的4大渠道:挖SRC漏洞、安全测试委托、技术投稿以及业内渠道,并强调技术能力和人脉积累的重要性。同时,作者提供了一套完整的网络安全学习资源包,包含学习路线、工具包、面试指南等,帮助新手分阶段掌握网络安全技能,从初级到高级工程师的成长路径。文章还特别提醒,即使学到第三四个阶段也足以胜任初级网安岗位。
2025-06-18 17:48:38
911
原创 记一次新手小白简单实战的黑客渗透测试攻击,黑客技术零基础入门到精通教程
本文记录了一次针对某学校网站的渗透测试过程。作者使用httpscan工具扫描发现目录遍历漏洞和phpinfo文件,进而通过Discuz 3.2后台弱口令(admin/admin)登录,利用插件漏洞成功getshell。在控制服务器阶段,作者创建新用户并破解修改后的3389端口(65530)实现远程桌面连接,最后使用mimikatz获取管理员密码。文章指出该服务器疑似测试环境遗留,存在TeamViewer等安全隐患,建议关闭服务器并清理敏感数据。文末附有网络安全学习资源包获取方式。整个渗透过程展示了从信息收集
2025-06-10 17:03:45
811
原创 网络安全新手入门—MSF渗透安卓手机(小白的第一次黑客渗透)
MSF,全称为,是kali中一款全球知名的开源渗透测试工具。此文章中的方法只能进行内网渗透。由于kali在虚拟机中,其显示的内网IP无法被外网的安卓手机S直接访问,所以不能直接将文章方法应用于外网。该实验为模拟环境,未经授权的渗透都是违法行为,我们都是守法的好公民。而且这种方法只能渗透安卓10以下的系统,入侵渗透更高级的系统需要更加专业的知识,再加上只能进行内网渗透,所以这种方法很难进行违法渗透!
2025-06-10 17:00:40
674
原创 【建议码住】纯纯干货,“渗透测试的瑞士军刀” Sqlmap常用手册!
相对于手工注入,sqlmap的高效注入大大提高了我们渗透效率。联合查询,在可以使用Union的情况下注入(注入效率最高,成本最低)报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回到页面中布尔盲注,即可以根据返回页面判断条件真假的注入延时注入,即不能根据页面返回的内容判断任何信息,要用条件语句查看时间延迟语句是否已经执行(即页面返回时间是否增加)来判断堆叠查询,可以同时执行多条语句时的注入注入小技巧:有回显可以用联合查询,有报错可以用报错注入。
2025-06-07 15:38:40
534
原创 网络安全攻防演练怎么做?分享最近攻防演练HVV漏洞复盘,网络安全零基础入门到精通实战教程!
师傅们又又又到文章的分享时刻了,这次给师傅们分享的是前段时间打的一个省级HVV的攻防演练,然后呢,也是借着这次写文章的机会,给师傅们复盘下,然后自己也可以总结下,把团队打的部分漏洞也复盘下(漏洞不完整,部分敏感的getshell、rce的不透露了)。总的来说团队的几个大牛子还是蛮厉害的,菜鸡的我都不好意思了(哈哈哈),然后呢今天给师傅们写这篇文章,分享下漏洞挖掘的案例(好东西心里面藏不住,就想着给师傅们分享了),然后顺便把我在这次攻防演练打的漏洞给师傅们分享下。
2025-06-05 16:25:42
844
原创 黑客如何进行跳板攻击与防御详解,跳板攻击如何防御?网络安全零基础入门到精通教程建议收藏!
本文介绍了黑客利用被攻陷计算机("肉鸡")的常见方式及防御措施。黑客主要通过窃取数据、设置非法代理服务器、搭建交流平台以及作为学习开发环境来滥用"肉鸡"。防御手段包括强化操作系统安全(物理防护、文件权限、账户管理、网络配置)、关闭非必要服务、实施访问控制和数据加密,同时管理员需加强日常监控。文章强调系统管理员的责任意识是网络安全的关键,并提醒通过异常流量等迹象识别潜在入侵。最后指出被入侵的高性能服务器可能成为黑客交易目标,凸显系统防护的重要性。
2025-06-05 16:24:39
807
原创 实现了一下CSRF原来不像背的那么简单,网络安全零基础入门到精通教程!
文章摘要: 本文通过Node.js搭建两个服务(A服务3000端口和B服务4000端口)模拟CSRF攻击场景。B页面正常登录后会设置cookie,而A页面试图伪造请求获取数据或执行删除操作。实验发现当A页面域名改为127.0.0.1时无法携带cookie,无法完成攻击。原因是浏览器SameSite设置限制,默认会阻止跨域cookie传递。要实现CSRF攻击需要设置SameSite=None并配合Secure标志(HTTPS协议),而Strict模式则会完全禁止跨域cookie传递。该实验验证了现代浏览器对C
2025-06-04 17:02:10
381
原创 黑客必备渗透神器BurpSuite基础教程,手把手教你如何渗透一个网站!黑客技术零基础入门到精通教程!
因为这个kali系统里面都是自带的,我这里就不讲安装方法了BurpSuite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。BurpSuite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。BurpSuite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。BurpSuite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。
2025-06-04 16:09:19
849
原创 揭秘RCE漏洞:黑客如何隔空控制你的电脑?
摘要: 远程代码执行(RCE)漏洞允许攻击者远程操控目标系统执行恶意指令,本质是应用程序对用户输入过滤不当。与命令注入的区别在于,RCE直接控制系统,而命令注入影响特定应用。常见危险函数包括PHP的eval()、Python的exec()和Java的Runtime.exec()。RCE的底层原理涉及操作系统用户态与内核态的切换,通过系统调用实现高权限操作。攻击者常利用Shell环境或进程创建机制(如fork()和execve())执行命令,甚至在受限环境中通过参数滥用(如curl的特殊参数)绕过限制。开发者
2025-06-03 15:01:28
974
原创 我与红队:一场网络安全实战的较量与成长,网络安全零基础入门到精通实战教程!
红队建设与实战经验总结 本文分享了网络安全红队建设与实战攻防的宝贵经验。在团队建设方面,强调专业分工(情报搜集、漏洞挖掘、社工钓鱼等)、自研武器开发(远控系统、反追踪工具等)和科学绩效考核的重要性。文章详细剖析了红队五大核心岗位(情报搜集、打点实施、漏洞挖掘、社工钓鱼、内网渗透)所需的36项技能,并区分基础与高阶能力。实战技巧部分指出应关注评分标准、合理使用0day漏洞、善用历史遗留webshell等策略,并通过某金融集团攻防案例展示了供应链迂回攻击与持久化控守的具体战术。全文为网络安全从业者提供了系统的红
2025-06-03 14:59:36
1102
原创 去哪里能找到真正的黑客?现在黑客的聚集地在这些地方!
摘要: 寻找真正的黑客高手,需避开抖音等平台,可关注三大专业渠道:1)漏洞平台(如补天、漏洞盒子),聚集白帽黑客为企业挖漏洞;2)企业SRC应急响应平台(如腾讯、阿里),汇聚顶尖白帽黑客;3)黑客论坛(如FreeBuf、看雪论坛),但需警惕鱼龙混杂。此外,文末附赠全套网络安全学习资源包(含路线图、视频教程、SRC文档等282G资料),助力技术提升。 (字数:150)
2025-05-30 17:29:09
314
原创 2025年网络安全人才平均年薪 24.09 万,跳槽周期 31 个月,安全工程师现状大曝光!
随着人工智能等新兴技术快速发展,网络安全和功能安全人才缺口日益扩大。报告显示,全球网络安全人才缺口达293万,中国至2020年需求将达140万;功能安全领域因行业年轻化,专业人才更为稀缺。网络安全人才需求近三年持续增长,2018年增速超60%,北京需求占比最高(26%),互联网行业提供过半岗位(51%),网络信息安全工程师需求最大(51%)。薪酬方面,深圳网络安全人才年薪最高(29万),WEB前端开发岗达48万。功能安全人才需求2018年激增76%,上海、北京、深圳需求最旺盛,机械制造和电子通信行业合计占比
2025-05-30 17:28:21
1335
原创 渗透测试之SQLMAP工具详解,kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了
SQLMap工具简介与使用指南 SQLMap是一款开源的自动化SQL注入检测工具,支持多种数据库类型,能够识别漏洞、获取数据甚至执行系统命令。适用于渗透测试,提供丰富的参数配置(如level和risk级别调节检测深度)。 核心使用方法: -r参数:处理POST请求,需配合抓包数据文件 -u参数:针对GET请求的直接URL测试 --level:设置检测强度(1-5级),高级别包含Cookie/UA等头部检测 --risk:风险等级(0-3级),3级会测试OR语句等高危注入 -v参数:控制输出信息的详细程度 工
2025-05-29 16:52:38
723
原创 深入解析弱口令漏洞:从MySQL爆破到红队攻击的真实案例与防御策略
弱口令漏洞看似简单,却能引发严重的后果。从MySQL的弱口令成因到红队的攻击手法,再到实际案例和防御措施,本文全面剖析了这一安全问题。通过使用强密码、启用MFA和定期审计,企业可以有效降低风险。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要。
2025-05-29 16:51:08
936
原创 网安HW重保蓝队Top 30类超详细高频面试题清单,看完你的护网就稳了!
网络安全技术要点摘要 本文总结了网络安全领域的核心知识点,涵盖蓝队面试常见问题和攻防技术要点。 主要技术内容 Web安全:SQL注入攻击手法、XSS类型与防御、CSRF攻击原理、XXE漏洞、Webshell工具特征分析(蚁剑/菜刀/冰蝎/哥斯拉) 系统提权:Windows/Linux提权方法,包括内核漏洞利用、SUID提权、环境变量劫持等 中间件漏洞:IIS、Apache、Nginx、Tomcat、Weblogic等常见中间件的安全漏洞 网络渗透:内网渗透思路、正反向Shell区别、端口扫描、Nmap使用、
2025-05-28 17:02:33
974
原创 成为顶级黑客:从零开始学习网络渗透的完整指南,黑客高级教程建议收藏!
网络安全再进一步细分,还可以划分为:网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。今天的这篇,主要针对网络渗透方向,也就是大家所熟知的“黑客”的主要技术,其他方向仅供参考,学习路线并不完全一样。报告是安全漏洞结果展现形式之一,也是目前安全业内最认可的和常见的。每家安全团队在写渗透测试报告的都不一样,但大体展现的内容是一样的。那报告上都会有哪些内容呢?小编就拿悬镜安全团队做渗透测试的经验以及实际交付给客户的报告来分享下。
2025-05-28 17:01:38
1162
原创 【网络安全】又要到每年HVV时刻了,这几个常用威胁情报平台你收藏 了么?
本文介绍了7个国内常用的网络安全威胁情报平台,助力构建本土化防御体系。包括360威胁情报中心(提供APT攻击链和免费订阅)、微步在线(暗网监测和AI威胁狩猎)、奇安信(APT溯源和漏洞管理)、绿盟(攻击者追踪)、安恒(AI智能分析)、启明星辰(行业标准制定)和深信服(多维度防护)。各平台均提供特色功能,如样本库、信誉评分、APT组织追踪等,形成"监测-分析-响应"闭环。文末还提供了网络安全学习资源包,含成长路线图、视频教程、技术文档等282G资料。
2025-05-26 15:51:11
1093
原创 网络安全新手入门必看:2025最新版AWVS保姆级安装与使用教程
AWVS安装与使用指南摘要: AWVS是一款自动化网络漏洞扫描工具,支持检测SQL注入、XSS等Web漏洞。安装时需注意默认路径(避免破解失败),设置复杂密码并保留默认端口3443。破解后通过https://127.0.0.1:3443访问,推荐使用Chrome浏览器。核心功能包括: Targets:添加扫描目标; Scans:配置扫描任务; Vulnerabilities:漏洞分级展示; Reports:导出扫描报告(HTML/PDF等格式)。 其他模块如网络扫描、邮件通知等可按需配置。安装包含破解工具,
2025-05-26 15:50:01
1329
原创 网络安全必看流量分析经典解析----10道CTF题我是怎么完成的
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
2025-05-24 16:00:34
891
原创 记一次新手小白简单实战的黑客渗透测试攻击,黑客技术零基础入门到精通教程
摘要:作者使用httpscan工具扫描某学校网段时发现目录遍历漏洞和phpinfo信息泄露,进而发现Discuz 3.2网站。通过弱口令admin/admin进入后台,利用插件漏洞成功getshell。随后创建管理员账户,发现远程桌面端口被修改为65530后成功连接服务器。最后使用mimikatz获取管理员密码,建议关闭该废弃服务器并清理敏感数据。整个过程虽顺利但存在被蜜罐诱捕的风险。(149字)
2025-05-24 15:59:52
896
原创 万字干货详解数据库渗透神器—SQLMap的常用玩法以及高级渗透指南!
SqlMap是一款自动化SQL注入工具,支持多种数据库(如MySQL、Oracle等),采用五种注入技术:布尔盲注、时间盲注、报错注入、联合查询注入和堆查询注入。常用指令包括探测URL漏洞、指定参数、查看数据库用户、密码、表、列等数据,以及执行SQL语句、获取服务器权限等操作。SqlMap还支持代理、随机User-Agent、脚本过滤等功能,适用于不同场景的SQL注入测试。通过实例sqli-labs靶场,展示了SqlMap的多种应用方式,帮助用户快速发现并利用SQL注入漏洞。
2025-05-23 16:51:34
1185
原创 日薪2700的护网HW面试,以及HW全面熟悉必看流程,2025护网在即你准备好了吗?
网络安全护网行动(HVV)是检验和提升网络安全防御能力的重要手段,主要分为预演、正式和复盘三个阶段。预演阶段包括资产梳理、系统加固和渗透测试等准备工作;正式阶段则分为监控、研判、处置、溯源和反制五个工作组,各司其职,确保网络安全;复盘阶段则是对整个护网行动进行总结和汇报。护网行动不仅提升了网络安全防御能力,也促进了行业人员与厂商的协同合作,对网络安全产业具有重要推动作用。
2025-05-23 16:48:57
1472
原创 Web渗透测试之信息收集—高阶手法CDN绕过方法大全,找到你想要的真实IP地址!
本文主要介绍了如何判断CDN是否开启以及绕过CDN获取真实IP的方法。通过DNS解析、ping不存在的二级域名、查看IP与域名绑定的历史记录、查询子域名、利用SSL证书、网站漏洞查找、邮件订阅、国外服务器ping、Zmap扫描全网以及DDOS攻击等手段,可以绕过CDN获取目标网站的真实IP。文章还提供了多个工具网站和查询方法,帮助渗透测试人员更有效地进行信息收集和漏洞挖掘。最后,作者分享了一份网络安全学习资源,供有兴趣的读者参考。
2025-05-22 18:18:09
983
原创 网络安全可以自学但别瞎学!这份过来人的经验让你少走十年弯路!
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。
2025-05-22 18:15:47
1587
原创 重点:SQL注入漏洞利用技巧:通过OR、AND、引号绕过身份验证,成功登录绕过登录页面
SQL注入是一种常见的网络安全漏洞,攻击者通过构造特定的SQL语句来绕过登录页面的身份验证逻辑。常见的注入方式包括使用OR、AND、单引号(')和双引号(")等操作符,改变查询逻辑,使查询始终返回true,从而绕过密码验证。例如,输入' OR '1'='1可以使查询条件始终为真,成功登录系统。攻击者还可以通过注释符号(如--)忽略查询的剩余部分,进一步操控查询结果。为了防止SQL注入,开发者应对用户输入进行严格的验证和过滤,避免直接拼接SQL语句。
2025-05-21 13:38:33
1285
原创 渗透测试之通俗易懂让你搞明白如何做渗透测试【渗透测试之流程(步骤)】
本文以通俗易懂的方式介绍了黑客的工作流程,并区分了黑客(黑帽子)与渗透测试工程师(白帽子)的不同。黑客攻击通常分为四个步骤:明确目标、信息收集、漏洞探测和高危漏洞利用。黑客利用这些步骤进行非法活动,而渗透测试工程师则在授权下模拟攻击,帮助企业修复漏洞。文章还提供了网络安全的学习资源和建议,强调保护个人信息和企业数据的重要性,并鼓励对网络安全感兴趣的人从基础开始学习。
2025-05-21 13:35:28
940
原创 实战记一次溯源真实案例—网络安全零基础入门到精通实战教程!
文章摘要:本文详细描述了一次网络安全溯源反制的过程。起因是同事发现可疑IP告警信息,作者协助进行溯源。通过全流量探针设备分析,确认该IP为真实攻击源,并立即封禁。随后,作者利用多种工具和平台(如FOFA、微步在线、阿里云等)对该IP进行深入调查,发现其归属地为北京阿里云,并搭建了两个无实际利用价值的网站。通过微步在线情报社区,确认该IP为恶意IP,并进一步通过域名解析、备案查询等手段,最终锁定攻击者的真实姓名和地理位置。文章还提到使用社工库进行信息搜集,但由于时间限制,未深入展开。总结中,作者强调了团队合作
2025-05-20 15:18:00
653
原创 网安利器Wireshark十大技巧,用好抓包so easy!
默认的列表不够用?自己加!🛠️ 右键数据包列表的列标题,选“列首选项”,点“+”加新列。比如:加个“HTTP请求方法”列,看GET、POST一目了然。加个“TCP标志”列,快速判断SYN、ACK状态。自定义列能让你关注最关键的信息,提升分析效率。动手试试,打造属于自己的抓包界面!💡哇,看到这儿你已经是个抓包小能手了吧!😎 这十大技巧从安装到高级分析,覆盖了Wireshark的方方面面。只要灵活运用,不管是排查网络故障、分析协议细节,还是检测安全威胁,你都能轻松搞定。
2025-05-20 15:16:48
1075
原创 新手小白入门SRC漏洞挖掘经验分享,网络安全零基础挖漏洞教程分享!
在SRC漏洞挖掘过程中,信息收集是至关重要的一步,直接影响漏洞的数量和质量。资产收集、自动化工具的使用以及业务逻辑的审查是漏洞挖掘的三大关键点。子域名收集工具如Oneforall和在线工具,搜索引擎如Fofa和谷歌黑客语法,端口扫描工具如Nmap,指纹识别工具如潮汐指纹库和Wappalyzer,以及目录扫描工具如Dirsearch,都是信息收集的常用工具。漏洞探测和验证方面,Goby、Xray、Awvs、Nessus等扫描器,以及Burp、Sqlmap、Msf等工具,都是有效的辅助手段。通过这些工具和方法,
2025-05-15 18:40:14
1068
原创 初级黑客入门之sql注入报错分享(mssql+mysql),黑客技术零基础入门到精通实战教程!
本文介绍了在MySQL中利用溢出和主键重复导致的报错机制进行安全测试的方法。对于溢出类,通过使用BIGINT、DOUBLE等数据类型,结合ABS、EXP、AVG等函数,可以触发溢出报错,从而获取错误信息。对于主键重复类,利用rand(0)*2等函数生成重复主键,导致Duplicate entry异常,进而暴露系统信息。文章还提供了相关SQL语句示例和报错特征,帮助读者理解和应用这些技术。
2025-05-15 18:39:10
552
原创 网络安全新手必读:一文轻松掌握Kali Linux核心命令与基础概念!
想象这个场景:当你第一次打开 Kali Linux,桌面上是琳琅满目的黑客工具,终端里闪烁的光标正在等待你的输入。然而,除了几个最基础的 cd、ls 命令外,你完全不知从何下手。在论坛中看到高手们行云流水般敲打各种命令轻松达成目标,而你却需要不断搜索最基本的操作方法。这种感觉,就像拿着一把瑞士军刀,却只会用它来开瓶盖。事实上,很多人在开始学习网络安全时都会遇到这个问题:工具虽然强大,但因为不熟悉命令行而寸步难行。这就像在玩游戏时,你拥有最顶级的装备,却不懂得如何使用最基本的技能。
2025-05-14 11:33:56
1021
原创 记录一次攻防演练—没有0day如何拿下靶标!黑客技术零基础入门到精通教程建议收藏!
本文描述了一次针对存在WEB弱口令漏洞的域环境渗透测试过程。攻击者通过弱口令爆破进入后台,利用文件上传漏洞上传Webshell,并尝试绕过流量检测设备。通过免杀技术成功提权至系统权限,随后在域内进行信息收集,尝试利用多个漏洞(如CVE-2021-42287、CVE-2022-26923、MS14-068)进行域控提权,但均未成功。最终,攻击者通过内网横向移动完成了渗透测试。文章还提供了网络安全学习资源包的获取方式。
2025-05-14 11:32:27
570
Java动态Web工程项目(学校报告可用)
2021-01-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人