上一篇讲到了如何用Python开发字典,而当我们手里有了字典 就可以进一步去做爆破的任务了,可以用现成的工具,当然也可以自己写 接下来我就要一步一步来写爆破工具!...爆破MySQL: 想要爆破MySQL目标至少要允许远程连接 我这里没有开启远程连接,只是爆破本地的MySQL 实际上,如果掌握了如何爆破本地MySQL,那么想要远程爆破MySQL也是很轻松的 最基本的实现...print "用户名:" + username + " 密码:" + password + " 破解失败" pass 固定好哪些用户名和哪些密码,以及爆破的...IP和端口,直接执行即可 进阶的MySQL爆破脚本:写的很完整,支持多线程 # -*-coding:utf-8 -*- """ MySQL爆破脚本 用法: python MysqlCrack2.py -...: 实际去安装一些FTP软件比较困难,我这里就用Metasploitable Linux 启动后默认开启FTP服务,我这里的IP是192.168.232.129 Metaploitable Linux的
Hydra(九头蛇海德拉)是希腊神话之中的一个怪兽,以九个头闻名于世,在Kali中hydray(hai der rua) 是默认被安装的,该工具是密码破解的老司机,可以破解各种登录密码,非常怪兽,但是其稳定性不是很好...thc-hydra 其Windows实现版: https://github.com/maaaaz/thc-hydra-windows 除了hydra外,还有一个medusa 原理都差不多,但是medusa支持的协议要少于...其支持的破解类型包括,一下这么多几乎当前协议通吃,很怪兽。...rtsp s7-300 sip smb smtp[s] smtp-enum snmp socks5 ssh sshkey teamspeak telnet[s] vmauthd vnc xmpp Linux
tree命令 这条命令可以直接将目录下的文件以树形态展示,如下图 微信截图_20181010113438.png 默认没有安装,安装方法 ubuntu下 sudo snap install tree...centos下 yum -y install tree 安装完成之后,进入目录,直接 tree 就可以了,当然tree还有其他参数,可以参考以下文章 tree命令的使用(https://www.cnblogs.com
在写自动化渗透工具的时候苦与没有好用的子域名爆破工具,于是自己就写了一个。...Ksubdomain是一个域名爆破/验证工具,它使用Go编写,支持在Windows/Linux/Mac上运行,在Mac和Windows上最大发包速度在30w/s,linux上为160w/s的速度。...目前大部分开源的域名爆破工具都是基于系统socket发包,不仅会占用系统网络,让系统网络阻塞,且速度始终会有限制。...在linux下,还需要安装libpcap-dev,在Windows下需要安装WinPcap,mac下可以直接使用。...其中不仅限于突破安全壁垒的大型工具,也会包括涉及到优化日常使用体验的各种小工具,除了404本身的工具开放以外,也会不断收集安全研究、渗透测试过程中的痛点,希望能通过“404星链计划”改善安全圈内工具庞杂
目录 HashCat HshCat的使用 使用Hashcat生成字典 使用Hashcat破解NTLMv2 HashCat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解...在操作系统上支持Windows、Linux平台,并且需要安装官方指定版本的显卡驱动程序,如果驱动程序版本不对,可能导致程序无法运行。...这三个版本的主要区别是:HashCat只支持CPU破解。oclHashcat-plus支持使用GPU破解多个HASH,并且支持的算法高达77种。...oclHashcat-lite只支持使用GPU对单个HASH进行破解,支持的HASH种类仅有32种,但是对算法进行了优化,可以达到GPU破解的最高速度。...HshCat的使用 由于笔者穷逼一个,所以使用最简单 cpu 破解。
域名爆破的重要性 域名爆破能够发现一些在公开信息里搜索不到的域名; 有的域名可能直接绑定的内网地址,有利于一些漏洞的延伸,比如SSRF漏洞 很多小型网站的后台是很多都在主域名的某个目录下面者三级域名下...爆破原理 爆破的原理其实是通过枚举域名的A记录的方式来实现的 泛解析如何爆破 首先的访问一个随机并不存在的域名chorashishuaige.xx.com,记录其泛解析到的IP地址。...可以使用泛解析配合DNS轮询的方式,即访问一个随机不存在的域名chorashishuaige.xx.com会得到一组IP,访问另一个不存在的域名又会得到另外一组IP, 这样就会给域名爆破工具带来误报,当然域名爆破工具完全可以先多次枚举随机域名...大量的DNS请求会造成网络卡顿,特别是挂机循环爆破几天的情况下可能会影响到同事的网络,这个时候可以先暂停等后续再进行爆破。 使用方法 可以导入自己的字典进行爆破,也可以自己定义规则进行爆破。...爆破二级域名使用的是字典或者规则,爆破三级及以下使用的是字典2或者规则2。 开始功能即为使用字典或者规则进行二级域名的爆破,然后使用字典2或者规则2一直遍历到没有发现新的域名或者指定的层次为止。
简单介绍 xhydra是hydra的一个可视化工具,它可以利用众多协议进行口令、账号、密码的爆破,同样支持FPT、MYSQL、SMTP、TELNET、SSH等众多的协议爆破。...打开xhydra 直接在KaliLinux 终端输入 xhydra 即可 xhydra 打开如下界面: 界面简单介绍 Target 界面介绍 使用nmap扫描端口获得协议的信息,比如22...Loop around users 选项 采用字典爆破时需要勾选 Portocol does not require usernames 选项 协议不需要账号,这一个选项一般不勾选...Password选项 知道密码不知道用户名,搭配字典使用 Tuning 界面介绍 Performance Options 线程设置得越高,爆破的速度就越来越快 Use a HTTP/HTTPS...Proxy 可以配置代理进行爆破 Start 界面介绍 持续更新…
本文章简单介绍一下两种加密DNS协议:DNS over HTTPS 和 DNS over TLS。这两种协议主要为了解决DNS带来的隐私和中间人篡改问题。...其实隐私问题之所以没被重视,主要有几点:第一,中间人肯定能知道你要访问的服务器IP地址,多数情况下知道IP就知道是什么网站了。...所以本文就要探讨一下DNS over TLS和DNS over HTTPS。这两个协议目前仅限于用户客户端和DNS递归服务器间的通信。...[2] 0x02 子域名爆破 我用C#写了一个非常简易的子域名爆破工具,为了演示DNS over HTTPS。(仅为技术讨论使用,请勿用于违法用途!)...工具的地址:【点击底部阅读原文下载】。欢迎大家提交issues和PR。
shellcheck:shell脚本静态检查工具,能够识别语法错误以及不规范的写法。 ?...fzf:命令行下模糊搜索工具,能够交互式智能搜索并选取文件或者内容,配合终端ctrl-r历史命令搜索简直完美。 ?...htop: 提供更美观、更方便的进程监控工具,替代top命令。 ? glances:更强大的 htop / top 代替者。 htop 代替 top,glances 代替 htop: ?...除了命令行查看外,glances 还提供页面服务,让你从页面上随时查看某服务器的状态。 axel:多线程下载工具,下载文件时可以替代curl、wget。...cloc:代码统计工具,能够统计代码的空行数、注释行、编程语言。 ? tmux:终端复用工具,替代screen、nohup。 ? script/scriptreplay: 终端会话录制。
最近有在2台机器双向同步文件的需求, 于是有了本文. 上网找了一些双向文件同步的工具, 比较典型的有syncthing和mirror....本文介绍mirror的使用方法(不过好像syncthing使用更广泛一些)....台机器上安装好java1.8版本(ubuntu使用sudo apt install openjdk-8-jre命令即可安装); 在2台机器上安装好Watchman(安装方法); 在2台机器上安装mirror工具...(安装方法见github页面) 假设你的mirror安装在/data/apps/mirror/目录下, 2台机器需要同步/data/sftp/文件夹....restart mirror.service && systemctl status mirror.service $ systemctl enable mirror.service 然后2台机器上的/
如何在 Linux 上安装 tcpping 测量到远程主机的网络延迟的一种常用方法是使用ping应用程序。该ping工具依赖 ICMP ECHO 请求和回复数据包来测量远程主机的往返延迟。...但是,在某些情况下,ICMP 流量可能会被防火墙阻止,这使得该ping应用程序对于受限制的防火墙后面的主机毫无用处。...在这种情况下,你将需要依赖使用 TCP/UDP 数据包的第 3 层测量工具,因为这些第 3 层数据包更有可能绕过常见的防火墙规则。 一种这样的第 3 层测量工具是tcpping....RepoForge,然后运行: $ sudo yum install tcptraceroute 安装依赖 bc 使用的另一个工具tcpping是GNUbc,它预装在所有主要的 Linux 发行版上...但是,如果你tcpping在最小 Linux 运行时环境(例如Docker容器、AWS 最小映像 AMI)中运行,则bc可能不会预先安装。在这种情况下,你需要bc自己安装。
使用磁盘分区工具可以使我们非常方便的管理磁盘,本篇文章为大家分享一下Linux下常见的磁盘分区工具。 Linux 中的 5 个管理磁盘分区的工具 下面的列表没有特定的排名顺序。...大多数分区工具应该存在于 Linux 发行版的仓库中。 GParted 这可能是 Linux 发行版中最流行的基于 GUI 的分区管理器。你可能已在某些发行版中预装它。...你甚至可以借助此工具尝试修复分区。它的选项还包括编辑文件系统、创建分区镜像、还原镜像以及对分区进行基准测试。...因此,在这种情况下,请输入以下命令: sudo partitionmanager 它将扫描你的设备,然后你就可以创建、移动、复制、删除和缩放分区。你还可以导入/导出分区表及使用其他许多调整选项。...GNU Parted(命令行) 这是在你 Linux 发行版上预安装的另一个命令行程序。
它可以将没有明确设置的子域名一律解析到一个IP地址上。这样,即使用户输入错误的子域名,也可以访问到域名持有者指定的IP地址。...在信息收集中,这会造成请求的所有子域名都能访问的假象,从而收集到一堆无效的子域名。这为我们去做子域名爆破带来了极大的不便,以前子域名爆破常用的是layer子域名挖掘机。...layer子域名挖掘机等子域名爆破工具,而针对淘宝的资产,我们不能使用layer子域名挖掘机等常规工具 1、判断是否使用了泛解析,五次完全随机的域名前缀A记录解析 import asyncio import...random_to_A(main_domain)).replace("],", "],\n")) 五次完全A记录解析成功,认为存在泛解析,如果不存在泛解析问题,就常规子域名收集一把梭,如果检测出泛解析,就使用破泛解析的子域名爆破工具...、A记录查询命中次数,如果A记录查询,命中相同ip>10,后续的爆破A记录解析的域名就不展示记录 四、脚本源码 import asyncio import aiodns import random import
简介 OCRmyPDF 工具通过 OCR 技术扫描出 PDF 文件中的文字部分,可将不可复制的 PDF 文件(扫描版)转换为可复制的 PDF 文件(文字版)。...最重要的是,OCRmyPDF 是开源免费的。 2. 安装 OCRmyPDF 工具在 Windows 和 Linux 上都可以安装使用,详细参见 OCRmyPDF 官方手册。 3....使用 示例:将扫描版 inputfile.pdf 转为可复制的文字版 outputfile.pdf ocrmypdf inputfile.pdf outputfile.pdf
对于日常性能测试来讲,在linux下或是类Unix系统,我们必须掌握以下常用的指标查看命令。...top top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器。...vmstat vmstat命令是最常见的Linux/Unix监控工具,可以展现给定时间间隔的服务器的状态值,包括服务器的CPU使用率,内存使用,虚拟内存交换情况,IO读写情况。...一般情况下vmstat工具的使用是通过两个数字参数来完成的,第一个参数是采样的时间间隔数,单位是秒,第二个参数是采样的次数,如下命令: vmstat 2 1 2表示每隔两秒采集一次服务器状态,1表示只采集一次...sar sar(System Activity Reporter系统活动情况报告)是目前 Linux 上最为全面的系统性能分析工具之一,可以从多方面对系统的活动进行报告,包括:文件的读写情况、系统调用的使用情况
作者在厌烦了不停的写下面的这个查找命令之后,开发了ack这个工具 grep foo $(find ....安装 ubuntu下要安装ack-grep,因为在debian系中,ack这个名字被其他的软件占用了。...sudo apt-get install ack-grep 特点 大家都说自己的东西好,因此ack官网列出了这工具的5大卖点: 速度非常快,因为它只搜索有意义的东西。...非包含文件名 File presentation 输出的结果是以什么方式展示呢,这个部分有几个参数可以练习下 ack-grep hello --pager='less -R' # 以less形式展示...find和grep的麻烦,虽然在linux的思想是一个工具做好一件事。
linux下解析json格式的jq工具 第一章 jq入门 1、linux下jq工具的安装 vim中使用jq工具 第二章 linux下jq工具的基本使用 1、检查json文件的格式的合法性 2、显示json...文件的所有内容 3、通过Key获取Value的值 4、嵌套解析 5、内建函数 6、jq使用的参考链接 linux下解析json格式的jq工具 jq工具会把json文件更有好的读取出来,此外,jq工具还在背后检查...json文件的合法性,如果文件存在格式上的错误,jq也会报出错误存在的位置 第一章 jq入门 1、linux下jq工具的安装 sudo apt-get install jq -y vim中使用jq工具...注意提前备份json文件,因为该操作会直接修改文件 在vim的最后一行模式下使用 :%!...第二章 linux下jq工具的基本使用 1、检查json文件的格式的合法性 如果该json文件存在格式错误,会报出错误存在的位置,如: "url" parse error: Expected string
本工具可以爆破存在验证码的登录点 Github地址: https://github.com/JK1706/explosion Part.1 使用方法 一、首先打开软件如图所示(分为配置项和重发器)...③验证码路径配置 通常情况下此处填入验证码的网址 不通常的情况下例如: 如图所示,此处的验证码路径应该填入 http://xxx.xxx.com/captcha ☆注意如带有参数形式验证码,则去掉参数填入...,只对用户名进行爆破,此处应该改为 第二:如果导入的是密码字典,只对密码爆破,此处应该改为 第三:如果两个都爆破,则都需要改 ⑥最后一步 点击爆破 爆破的结果会显示在右边类似burp,然后每点击右边的每一行...,都会在左边的框框显示相对应的响应包数据,如果遇到乱码则解码一下就可以了。...⑦实例 此处如果爆破用户名,密码显示原始密码,也就是你的请求包里的密码。则显示原始用户名。 最后的最后,感谢各位师傅的支持。
1、trace、trace-cmd 📷 2、BPF、eBPF https://github.com/iovisor/bcc 3、perf 📷 4、Syste...
前言 如果性能测试的目标服务器是linux系统,在如何使用linux自带的命令来实现性能测试过程的监控分析呢?...对于日常性能测试来讲,在linux下或是类Unix系统,我们必须掌握以下常用的指标查看命令。...top top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器。...vmstat vmstat命令是最常见的Linux/Unix监控工具,可以展现给定时间间隔的服务器的状态值,包括服务器的CPU使用率,内存使用,虚拟内存交换情况,IO读写情况。...一般情况下vmstat工具的使用是通过两个数字参数来完成的,第一个参数是采样的时间间隔数,单位是秒,第二个参数是采样的次数,如下命令: vmstat 2 1 2表示每隔两秒采集一次服务器状态,1表示只采集一次
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
