yawataa的安全学习博客

什么是网络？在现如今网络是一个信息传输的通道 什么是网络通信？在生活当中，通信是指人与人，人与物，物与物之间通过某种某种媒介和行为进行的信息传递，最主要的就是信息的传递这个点，网络通信就是各种终端通过网络进行信息传递，包括文件传输，文字发送这些。 然后介绍一下简单的网络组成设备1.终端设备：PC iPhone ipad （这些没什么好说的生活中经常用到） 2.网络互联设备：集线器（主要作用拓展网口），交换机（也是扩展网口，但是相比于集线器它能让网速更快更稳定） 路由器（企业网络，将光电信号互相转换） 防火墙（防御的） IDS IPS AP（我们家用的那个wifi 我们自己一般叫“路由器的那个东西”） 基站(经常看到的信号塔) 3.用于连接设备的链路/介质： 双绞线：两两绞在一起，防止产生的磁场的干扰 同轴电缆：第一层铜丝，第二层白色保护铜丝，第三层：防屏蔽网，防止磁场的干扰 第四层对防屏蔽网的干扰，单向传输，一般用在摄像，， 现在企业运用依然很多。 网线传输：双向传输 网络拓扑图：网络拓扑图是描述计算机网络中各个设备和它们之间连接方式的图形表示（很重要，以后无论是网络工程师还 ...

ai-web1网上也是打的很多了，这两天准备学校的选拔赛，决定练习一下 熟悉基本的流程 靶机地址：AI: Web: 1 ~ VulnHub 下载后通过vm打开文件夹就可以运行了。 如图： 1.nmap扫描寻找目标靶机ifconfig查看自己的ip 扫描网段发现靶机192.168.117.136 开了80端口 访问结果： 然后应该扫描目录，看看有没有什么其他的发现了，用dirsearch 御剑都可以，但是我比较喜欢用Tsscan，之前遇到过dirsearch扫不出来的情况，我的字典太久没更新了。 扫到一个robots页面 进去查看 可以看到这两个页面直接访问无结果 再拿扫描工具扫一下有一个phpinfo（）页面，一个查询页面？ phpinfo这个页面先放着，后面可能有用。 先探查一下这个查询页面 ok，一眼sql既视感，bp抓包，sqlmap启动！ 1后面打个*，表示注入点1python sqlmap.py -r 1.txt 很直接的注入，那就老三样了？爆库名 1python sqlmap.py -r 1.txt --dbs 爆表名 1python sqlmap. ...

一、Web常问1. SQL注入原理的种类？防御呢？预编译原理？原理：在数据交互中，前端的数据传入到后台处理时，由于后端没有做严格的判 断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 1.种类：字符，数字，布尔，报错，延迟，联合，堆叠，宽字节，XFF等 2.修复：使用预编译，PDO，正则表达式过滤，开启魔术引号，加装WAF等 3.预编译原理：预编译将一次查询通过两次交互完成，第一次交互发送查询语句的 模板，由后端的SQL引擎进行解析为AST或Opcode，第二次交互发送数据，代 入AST或Opcode中执行，无论后续向模板传入什么参数，这些参数仅仅被当成字符串进行查询处理，因此杜绝了sql注入的产生。 2.XSS的种类有哪些？区别？修复呢种类：存储型，反射型，DOM型区别：存储型:常出现在信息修改添加等地方，导致恶意代码被存储在数据库中，每当被攻击者访问到后就会触发执行； 反射型：常出现在url中，一般需要攻击者提前构造好恶意链接，欺骗用户点击，触发攻击代码； DOM型：攻击代码在url中，然后输出在了浏览器的DOM节点中。简单比较会发现，存储和反射都经过服 ...

若依管理系统part1信息收集首先，我们要做的是收集基于若依CMS的系统 一、若依特征绿若依：icon_hash=”706913071” 常见登录页面: 蓝若依：icon_hash=” -1231872293” 常见登录页面： 也可以通过标题收集：fofa语法：title=”登录若依管理系统” 也可以通过内容收集：fofa语法：body=”ruoyi.vip” 若依框架通常使用的组件有springboot、webpack、shiro、druid、swagger、redis、zookeeper、mysql等 二.常见漏洞一，未授权访问常见为绿若依，绿若依一般都会常用webpack组件（可以使用Packer-Fuzzer打包），F12查看js文件，找到一个名为appxxxxxx.js的文件，搜索baseurl，找到api路径 常见的未授权有druid、springboot、swagger 在api后面拼接对应路径 二，druid目录探测如果配置不当可能不需要druid密码即可直接访问druid1./druid/login.html 收集的网址直接拼 ...

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quick StartCreate a new post1$ hexo new "My New Post" More info: Writing Run server1$ hexo server More info: Server Generate static files1$ hexo generate More info: Generating Deploy to remote sites1$ hexo deploy More info: Deployment