某天,某人托我帮忙渗透公司网站(授权)并以不破坏网站的前提拿下shell.此时我默默的点了根烟,开始操作。
不同于其他的一些实用性娱乐性很强的小程序,我的这款小程序更像是一种「私人定制」,因为它唯一功能,就是用来方便大家浏览我在 deviantArt 上的 CG 作品。
比如端口扫描、网站的架构、敏感目录、是否存在CDN。子域名(资产收集)收集。做好信息收集工作就可以一步一步找漏洞的所在点了(学基础是时候一定要把原理学好)。
加上那个人的好友以后,象征性的聊了几句,大概就是:我说自己因为网赌没钱借了高利贷,让他带我玩这个,好还上贷款,没说几句就给我发了网址和邀请码(这个站没邀请码注册不上),让我去网站里面充钱,我说好,我先去冲一千,完事师傅你一定要好好带我,然后就去注册了(后来我没充钱,他就一直抖我,给我发消息,觉得烦就把他删了,所以聊天记录也没了,简单口述下没截图)。
写本文的契机主要是前段时间有次用青花瓷抓包有一步忘了,在网上查了半天也没找到写的完整的教程,于是待问题解决后抽时间截了图,自己写一遍封存在博客园中以便以后随时查阅。
昨天的域名接入申请被驳回了,原因有三个,最主要的问题还是第一个需要域名有效期3个月。
看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述如何从0到1拿一个高危信息泄露。
有耐心的童鞋可以看一下腾讯云官方的介绍文章:https://cloud.tencent.com/document/product/1552/69824 ,真的很全,很详细。
大好,我是田浩。2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。1目
前言 文章会适当说一些如何开发iOS上的universal link,但类似的文章太多了一艘一大堆,每篇都介绍的挺清楚,因此也不是重点 本文更加会侧重从前端的角度,将整个universal link 部署应用到wap app中的一些策略和一些问题解决办法 其实整个Universal Link没啥难的,真正上线过Universal link的人这些应该都趟过一遍了,本文主要是我们team去应用Universal link的时候一些文档沉淀和记录 Schema VS Universal Link Deepli
曾经作为一名想黑盒出CNVD的小白,我几乎看遍了所有公开的关于挖CNVD的文章与视频,什么CNVD收录条件啊,利用搜索引擎啊,刷弱口令啊,复现三例凑足十个案例啊......
charles又名青花瓷,在iOS开发中的抓包中具有重要作用。最大的三点用处,一就是拦截别人软件的发送的请求和后端接口,练习开发。二是自己后端返回的response拦截修改后再接收以达到测试临界数据的作用。三写脚本重复拦截抓取别人的数据. 开始之前的准备工作 1.首先安装一下这个软件 这个相信很多人电脑里应该都安装了,没安装的搜charles破解版也能很容易搜到。如果没安装java环境,首次进入charles会提示让你安装java包得,直接给你链接是苹果官网的,去下一个一键安装就行了。下载安装地
前段时间写的帮粉丝渗透棋牌app,被很多朋友私信问我到底怎么搞下来的,他们也想来这么一套一顿操作猛如虎的连环打法。
先声明一点,本文作者不是搜狗的 然后 只是从技术的角度探讨问题---- 目录 不明恶意攻击致<搜狗搜索><搜索结果>跳转<百度搜索>技术原理分析 目录 * 前提背景 * BS流量分析 * 继续分析 ---- 前提背景 最近我用搜狗的搜索的时候,就发现搜索结果会跳转到百度搜索,但是没注意,但是最近这个频率越来越高了之后,开始关注这个事,本人的这些分析只是抛砖引玉,欢迎更多的大神来加入分析 我们先看一段视频,这是我差不多一两个月之前录的,然后这个因为还原比较难(随机的因素),毕竟<黑产帝>也不是吃素的,所以我
点击右上角的new ssh key 将id_rsa.pub文件里面的内容全部粘贴进去,不用管格式内容啥的,直接全部粘贴
前些天不经意间看到cocos商城上了一个美术很棒、功能又很完整的游戏源码,而且还是实时对战类型的:
前两天公司晚上9点过,通知第二天要48小时核酸才能进办公楼。看到消息,已经是9点半多了,走到公司附近的核酸点,是10点过。然后发现那个点人好少,走近了才发现核酸点已经下班了,不过医护人员还没走,旁边也围了一些群众,应该是想让医护人员再做几个。
对于很多刚学前端的朋友们来说(比如我),在学习的过程中经常会记一些笔记,除了现实中的烂笔头,我们也可以在PC上记笔记、写总结,下面分享一些或多或少会用上的网站或工具。 脑图类:Xmind、百度脑图... 总结类:CSDN、简书、segmentfault、博客园... 当然,也有不少朋友们想拥有一个属于自己的博客,学会走路再学跑步,下面将简单暴力的教你搭建(拷贝)一个博客。我们的准备如下: 拥有一个自己的域名 拥有Git基础知识(不懂没关系,跟着大伙走,学会Github即可) 拥有一个GitHub账号 一款
DNS是Domain Name System的缩写, 我们称之域名系统。首先它是远程调用服务,本地默认占用53端口,它本身的实质上一个域名和ip的数据库服务器,他要完成的任务是帮我们把输入的域名转换成ip地址,之后通过ip寻址连接目标服务器。
第一个是,做SEO能保证关键词排名和流量吗?回答是,不能。不管网上什么地方什么人说能保证,我都是坚持回答不能,哪怕咨询的人一脸鄙视转身就走。因为我真的不能保证。正确、持久优化,有很大可能性获得排名和流量,但不能保证。即使可能性达到90%,那也不叫保证。
对于很多刚学前端的朋友们来说(比如我),在学习的过程中经常会记一些笔记,除了现实中的烂笔头,我们也可以在PC上记笔记、写总结,下面分享一些或多或少会用上的网站或工具。
这周授权测试了某系统,凭借着一个任意文件读取的漏洞,不断深挖,一波三折,历时将近24小时,也和Tide安全的小伙伴不断讨论,最终拿下目标的webshell。过程简直不要太美、太狗血,在此做个整理。
自己脚本小子一个,辣鸡中的战斗机。但幸运的是,我依然在坚持挖洞,每段时间仍能吸收很多新鲜的知识。现在使用工具多了,斗胆有点自己的经验和想法,其实主要是想跟大家多学习一下。本文谈不上交流,谈不上参考,更谈不上指导。
说明:关于RSS订阅器,之前发过不少了,比如Feedbin、FreshRSS等,功能都挺强大的,这里就再介绍个轻量级的RSS订阅器selfoss,使用起来是非常简单的,界面颜值也还不错,支持很多种订阅和网站,比如Twitter、Github、Tumblr等。
最近真的太忙了,从早上干到晚上。总结一下最近的状态,一个字:忙,很忙,太忙了。既要改bug,又要调试环境,还要发包!中间各种坑,这里录一下我的经历。
一个完整的网站建设是需要很多步骤的,相信大家对于网站有所了解的人都知道,像网站中比较重要的域名、空间、服务器都是非常重要的,其中一个出现问题就会导致网站无法正常运行,用户们也就无法访问网站了,在网站使用的过程中需要对域名多多重视,毕竟域名的正常才能保证网站正常访问,在网站建设之前都是需要进行域名注册的,那么怎么查域名在哪里注册的?域名注册后每年交费吗?下面小编就为大家来详细介绍一下。
在前面的话: 这是一篇让所有只会社域名的小黑阔感觉后悔的文章 域名劫持就不多做介绍了,”圈内”很多小孩将域名劫持仅仅理解为 社工客服解析域名,挂个黑页,只能装逼,实际上域名权限都有了,要拿下目标难道还不容易吗?!做渗透测试要放长线钓大鱼。在这里,我们要将域名劫持的最大作用发挥出来! 这里我的目标是secpulse.com 安全脉搏 ,个人感觉一个很不错的信息安全门户网站。 在这里对脉搏表示歉意,未经授权就擅自进行渗透测试,本人未对网站进行任何删除,上传,下载,修改等操作(事后第一时间通知了安全脉搏官方,脉
域名接入clb,443端口健康检查异常,域名访问502;域名直接解析到后端rs访问正常。如下:
对互联网但凡有点了解的朋友一定都听说过ip和域名这两个词,很多时候我们都会需要用到他们。前者是让我们找到地址的门牌,后者则是让我们快速访问网页的名称。ip和域名是相联系的,一个ip可以有很多域名,但一个域名只有一个ip,所以通过ip或是域名就能够查询到对方。那么,下面就一起来看看怎么根据域名查ip等内容吧。
中午休息的时候,被人打电话吵醒就没再睡了,继续看着平常经常看的博客,于是点到明月登楼的博客,想去换个友链抱个大腿,就点了 qq 联系临时聊天,大佬回答我的是不换了,已经太多了。心里没有太多的失望,毕竟自己还是小站,然后就跟明月登楼的博主开始聊起来了,大概了解了一下百度权重,说友链已经没有太多的意义了,平时多注意原创,以及文章外链。文章外链是会直接影响到关键词排名和域名权重的,所以说要有原创内容,并且是持续更新的原创文章,定位一个自己感兴趣的类别,每天更新一篇,坚持半年就有效果了。 今天开始第一篇关于 SEO
如果 Google 看到你在搜索某个编程关键词,他们会给你推荐工作!听起来很疯狂?看看是怎么做的吧! 如果 Google 检索到你在搜索某个编程关键词,他们会给你推荐工作!听起来很疯狂?看看是怎么做的
一切从一个"小黄片"的谎言开始,由各种入侵为过程,最后,谁能想到,机缘巧合中,竟扣开了一扇数亿元的黑产大门… 那个再平凡不过的夜里,我一如既往的用手机刷着新闻。点击了一篇名为“深圳房价下跌,…”的新闻。
1.首先绑定两个域名(以下称 A域名 和 B域名)到空间目录上。 2.接着把typecho上传到空间里,打开 A域名 时,typecho就会自动检测并开始安装,安装是请修改数据库表前缀为 A_ ,安装过程非常顺利。 3.安装完后,把程序自动生成的文件config.inc.php下载下来备份,并删除服务器上的config.inc.php。 4.然后,用 B域名 打开网站,此时,typecho会再度自动检测并开始安装,此时请修改数据库表前缀为 B_ ,安装过程也一样非常的顺利。 5.再次把config.inc.php这个文件下载下来,对比前后两个文件,我们可以发现它们之间的区别就在于最后的数据库及表前缀的区别。 6.这两个文件是非常的相似,那么我们就可以模仿wordpress,让它也能一个程序建多个站点了。
哈喽大家好波哥回来了。十一假期实在太忙了就没更新公众号,今天是上班第一天,相信大家的心情都跟我一样人在心不在吧!
从上面我们可以知道,可以用ZooKeeper来做:统一配置管理、统一命名服务、分布式锁、集群管理。
今天查看服务器状态,不小心误点了服务器的IP地址,然后居然能打开,,,OMG,怎么会这样,这怎么行呢?所以得修改以下配置文件,不让IP地址访问,至于为什么不让IP访问,有很多解释,其中最重要的就是防止恶意解析。
最近参加了一个赏金计划,然后在单点登录中发现了一个涉及比较多站点的漏洞,测试过程比较有意思,所以分享一下。
https 是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包,相比与http更加安全。本文介绍Hexo博客强制用户https协议访问的方法。 修改 Pages 设置 在hexo 挂载的pages中设置(例如我的是github pages),勾选 Enforce HTTPS 📷 此时用户访问您链接时必须使用https协议 CDN加速设置 设置了CDN加速的同志也要在相应的控制台进行设置,不然可能会因为pages强制https,但CD
.var/www/test/index.php /var/www/test2/index.php
前天在 vpsyou 买了一个虚拟主机VPS,但是因为在家里的连接速度不佳被我退了,昨天又买了遨游的虚拟主机,速度还可以。 以下是安装过程:
Hi,大家好!有能力才有可能,我叫樊能能, 也可以叫我 ‘二能’,我毕业以来一直从事web前端开发,涉及到的有小程序开发,app开发,网页开发等;
本次渗透没有什么骚操作 甚至也没有什么亮眼的地方 都是稳扎稳打来的 复习一下常规思路 各位表哥别喷就好
站长工具在工作中应该会有很多人使用,比如说 JSON格式化,UUID生成器,密码生成、URL编码等 今天给大家分享一个英文版的IT-TOOL的搭建教程。 是个开源的项目,地址:https://github.com/CorentinTh/it-tools 里面集合了常见的很多有用的小工具
为了解决这个问题,许多网站管理员对PC端域名和移动域域名使用相同的域名。这不是问题,但会被忽略。在移动端,搜索引擎仅适用于PC端资源。换句话说,网站应该有明确的搜索引擎指南,当首选PC时,以及首选移动时。如果您不了解适配设置,最好的方法是将您的PC网站和移动网站与PC的互联网站点分开。因此,对于受限制的搜索,最好为您的移动网站使用独立的域名。
今天给大家介绍一下 changedetection.io 这一款网站变更监控和通知工具,它的功能非常强大,支持用 Chrome浏览器 来提取网页内容,这样就可以抓取到一些用 js 填充内容的网页,更好地支持更多的网站。
近期,因为需要研究 Spring Security 的安全机制,因为 Spring Security 说可以帮助避免 CSRF 攻击。
在需要拦截服务器请求,重定向到本地时,一般有这几种方式:Charles 、Fiddler 、Nginx
领取专属 10元无门槛券
手把手带您无忧上云