Oct252025
Oct252025
Oct122025
python安全脚本
漏洞及渗透练习平台
WebGoat漏洞练习平台:
https://github.com/WebGoat/WebGoat
webgoat-legacy漏洞练习平台:
https://github.com/WebGoat/WebGoat-Legacy
zvuldirll漏洞练习平台:
https://github.com/710leo/ZVulDrill
vulapps漏洞练习平台:
https://github.com/Medicean/VulApps
dvwa漏洞练习平台:
https://github.com/RandomStorm/DVWA
数据库注入练习平台 :
https://github.com/A...阅读全文
Aug252025
python黑帽子(第五章)
对开源CMS进行扫描
import os
import queue
import requests # 原书编写时间过于久远 现在有requests库对已经对原来的库进行封装 更容易调用
import threading
# 设置线程
threads = 10
# 指定网站
target = ""
# 指定本地扫描路径
directory = ""
# 无效文件的后缀
filters = [".jpg", ".gif", ".png", ".css"]
# 切换路径
os.chdir(directory)
# 实例化queue
web_paths = queue.Queue...阅读全文
Aug252025
python黑帽子(第三章)
Windows/Linux下包的嗅探
根据os.name判断操作系统 下面是os的源码
posix是Linux nt是Windows
在windows中需要管理员权限、linux中需要root权限 因为是开启混杂模式(混杂模式允许我们嗅探网卡上流经的所有数据包,即使数据的目的地址不是本机)
import socket
import os
# 监听的网卡 0.0.0.0表示所有网卡
host = "192.168.1.102"
# Windows和Linux的区别是Windows允许我们嗅探...阅读全文
Jul162025
BUUCTF-[WebLogic]CVE-2017-10271(反序列化漏洞)
![BUUCTF-[WebLogic]CVE-2017-10271(反序列化漏洞)](/wp-content/uploads/d/9bacf46ae519ec897db4d956bf868656.png)
漏洞描述
Weblogic的WLS组件对外提供web服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
影响版本
weblogic 版本:
10.3.6.0.0
12.2 1.1.0
12.2.1.2.0
12.1.3.0.0
漏洞复现-方法1
1、打开靶场,看到一个404页面,说明weblogic已成功启动。
2、初步判断:访问 http://node5.buuoj.cn:27559/wls-wsat/CoordinatorPortType,存...阅读全文
Jun252025
蜜罐学习
蜜罐学习
蜜罐是用来引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。
1 蜜罐种类
低交互蜜罐:允许简单的监听,有简单的交互甚至可能没有响应返回(例如21端口,我们访问端口,蜜罐根据请求模拟进行对应的响应返回)
高交互蜜罐:高度模拟服务,允许入侵成功,并且一举一动都会进行监听
1.1 开源蜜罐介绍
https://github.com/desaster/kippo 具有交互的ssh蜜罐 能够记录暴力...阅读全文
Jun252025
sqlmap源码分析(一)
Sqlmap源码分析(一)
此次分析的sqlmap目标版本为1.6.1.2#dev
只对sqlmap的核心检测代码进行详细分析其他的一带而过
sqlmap.py文件结构
为了不让篇幅过长下面只写出了sqlmap.py(入口点)引用的前三个函数,
from __future__ import print_function # 即使在python2.X,使用print就得像python3.X那样加括号
try:
'''
代码作用:
python版本检测 导入必要的包 禁止生成__pyca...阅读全文
Apr252025
Xray学习
Xray
目前支持的漏洞检测类型包括:
XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redi...阅读全文
Apr202025
UPUPW多站点如何配置ssl证书?
UPUPW是目前Windows平台下最具特色的Web服务器PHP套件,包括Apache版、Ngix版和Kangle版,省去了搭建Web服务器PHP环境的复杂程序,下载解压到装有任意Windows系统电脑的非中文目录即可运行。那么UPUPW多站点如何配置ssl证书呢?
Apache配置SSL证书:
1.修改目录/Apache2/conf/下的httpd.conf
将#LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
去掉注释:loadModule socache_...阅读全文