小白安全博客

小白记忆
专注网络安全

日志归档

2018年6月发布的文章

渗透测试

SNMP配置文件注入到Shell

在今天下午的Web应用程序测试中,我发现我能够将任意内容注入到SNMP配置文件中,然后使用更新的文件重新启动服务。由于我已经可以使用Web界面来更改社区字符串并允许访问我想要的任何IP地址,但我认为这是一个有趣但低级的发现。幸运的是,我向Sandro Gauci提到了这个问题,他说他听说有可能让SNMP服务器在以某些方式访问时运行shell命令。这听起来比只......

阅读(751)评论(1)

个人分享

无效HTTP请求和绕过Lightttpd中的重写规则

开始 作为测试的一部分,客户端提供了一个文档根目录列表,并且在启动对Intruder的全面扫描之前,我正在通过一些选择查看Burp中继器中的页面。一个看起来非常有趣的页面是secret.html。我提出了要求并获得了秘密内容:   这似乎很容易,但我不抱怨,所以我转向浏览器,输入网址,并......

阅读(562)评论(0)

个人分享

Linux 修改默认SSH端口 22,避免被暴力破解密码

目前很多人还是使用密码来登陆服务器,并且服务器都是默认的 22端口,但是这样会有被暴力破解密码的危险(除非足够复杂) 为了服务器安全,推荐:非22端口+Key密匙登陆+Key密匙密码,这样搭配最安全。 为了保险起见,我们先添加一个SSH端口并添加对应的防火墙规则,然后用这个新的端口连接服务器试试,如果没问题......

阅读(1009)评论(0)

SQL

PHP程序员最常犯的11个MySQL错误

对于大多数web应用来说,数据库都是一个十分基础性的部分。如果你在使用PHP,那么你很可能也在使用MySQL—LAMP系列中举足轻重的一份子。 对于很多新手们来说,使用PHP可以在短短几个小时之内轻松地写出具有特定功能的代码。但是,构建一个稳定可靠的数据库却需要花上一些时日和相关技能。下面列举了我曾经犯过的最严重的11个MyS......

阅读(494)评论(1)

工具及应用

使用Nmap扫描SMB漏洞

在本教程中,我们将使用Nmap脚本扫描目标主机以查找SMB漏洞。SMB代表服务器消息块,并且在安全性和漏洞方面没有很好的声誉。在Windows 2000和Windows XP中使用了SMB1,允许空闲会话用于检索有关目标机器的大量信息。较新版本的SMB也受到许多漏洞的影响,允许远程执行代码窃取用户凭据。出于这个原因,每个渗透测试都应该检查SMB漏......

阅读(1249)评论(0)

工具及应用

Heartbleed SSL bug在Kali Linux上使用Nmap进行扫描

在本教程中,我们将使用Kali Linux上流行的Nmap工具扫描众所周知的Heartbleed SSL Bug的目标。Heartbleed Bug是流行的OpenSSL加密软件库中的一个严重漏洞,于2011年12月31日推出,并于2012年3月发布。这种弱点使攻击者可以窃取受SSL / TLS加密保护的信息,这种加密非常常用于保护互......

阅读(1135)评论(0)

星座说

感情中,没事就爱瞎想的星座!

感情其实很脆弱,并不是两个人相爱就一定会走到最后,很多时候自己的真心都会因为脆弱的内心而不堪一击。而且,很多的分手都并不是因为不爱了,而是因为疑心太重。让我们看看十二星座中那些恋爱中敏感又多疑,没事就爱瞎想的几大星座吧! 处女座 处女座人在感情中是个很喜欢口是心非的类型,也许内心爱得要死,可是表面......

阅读(573)评论(0)

XSS

FreeBuf几种社工破解WPA2密码方法及防范措施

移动存储攻击 某宝小容量u盘,在u盘中存放一个bat批处理文件,并命名为诱使人点开的标题,如:windows电脑优化、私人照片等等。其实bat文件的内容是这个:@echo off>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32......

阅读(529)评论(0)

mysql

linux(ubuntu)下C++访问mysql数据库

Ubuntu安装msyql 安装mysql数据库sudo apt-get install mysql-server 安装mysql客户端sudo apt-get install mysql-client C API的基本类型MYSQL该结构代表1个数据库连接的句柄.几乎所......

阅读(353)评论(0)

SEO优化

2018NBA全明星名单预测

通过球迷、媒体、球员投票选出东西部各5名首发球员,再通过教练员选出东西部各7名替补,也就是一共24名全明星球员,东部12人,西部12人; 在东西部各自的5名首发球员中,各自选出一名队长,而这两名队长将会由东西部分区中获得球迷投票最多的球员担任;全明星赛的两位队长将从入选全明星的球员中,挑选球员组建球队进行对抗,以往的东西部对抗赛将取消。 ......

阅读(541)评论(0)

Linux

Linux系统vim编辑器命令使用教程简单介绍

vi(vim)是上Linux非常常用的代码编辑器,很多Linux发行版都默认安装了vi(vim)。vi(vim)命令繁多但是如果使用灵活之后将会大大提高效率。vi是“visual interface”的缩写,vim是vi IMproved(增强版的vi)。在一般的系统管理维护中vi就够用,如果想使用代码加亮的话可以使用vim ......

阅读(506)评论(0)

Linux

Linux系统 Crontab安装配置使用详细说明

一、安装 yum -y install vixie-cron yum -y install crontabs 说明: vixie-cron 软件包是 cron 的主程序; crontabs 软件包是用来安装、卸装、或列举用来驱动 cron 守护进程的表格的程序。 ......

阅读(575)评论(0)

页面美化

分享一个超级人工智慧的在线制作logo的网站-Logaster

这是国外的在线LOGO生成器,Logaster提供了中文操作介面与一站式的服务,不仅能自动生成LOGO,用户还可以无限量制作与编辑,免费下载小尺寸LOGO!除了LOGO以外,Logaster还会自动生成名片、信封等等的模板。另外还有网站图标Favicon的生成,用户可以把做好的Logo使用在二维码、微信公众号、视频影片上等,......

阅读(706)评论(0)

日常生活

又到了毕业季-高考加油

2018高考将至,预祝广大高考学子金榜题名!十年扬帆征战场,今朝姓名题金榜。亲友相闻看捷报,合家雀跃欢声笑。文字绽香醉心房,伴随家人话梦想!鱼跃龙门入名校,必将成才志向高!愿你明天更灿烂!高考加油! 唉,当年高考失利,改变了我的人生轨迹,不说了不说了,反正就是学弟学妹们好好考加油! 高考没什么可怕的,用平常心态去对......

阅读(621)评论(0)

自学教程

网络安全基础培训课视频-已在不提供

目标是培养系统掌握信息安全的基础理论方法与关键技术,本专题通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全。 课程目录: 阶段一:信息收集 本阶段主要是渗透测试前期的信息收集,在这个阶段我们需要尽可能多的收集目标的信息。 01.网络安全-信息收集专题 1.信息收集专题概述......

阅读(746)评论(2)

自学教程

layUI前端框架视频教程

课程简介: 本系列课程为大家介绍的是一款优秀国产UI框架layUI,该框架是一款采用自身模块规范编写的情怀级前端UI框架,遵循原生HTML/CSS/JS的书写与组织形式,门槛极低,拿来即用,2016年一经发布,广受好评,极具热度,可谓是web开发界的一匹黑马。 课程须知: 一些基本的HTML、CSS、J......

阅读(773)评论(0)

自学教程

Shader编程从入门到精通视频教程

Shader在游戏中的作用非常重要,然而学习shader的路却不是那么容易,它涉及到方方面面的知识和基础, 比如:3D数学,计算机图形学甚至硬件。很多朋友为了达到一种特别的功能,往往在互联网上四处搜索别人的shader,最后却找不到适合自己需求的东西。与其纠结在无法理解和改良别人shader的痛苦中,不如放弃盲目和被动,转而从头学习这种“......

阅读(497)评论(0)

JavaScript

JavaScript零基础到进阶视频教程

前端工程师是一个容易上手的高薪职业,在一线城市月薪为20K~30K之间,是理工科背景的同学希望转行做IT技术的第一职业选择,而JavaScript 就是前端工程师的必备技能。本次课程就是针对没有基础的同学想要进行相关学习而开办的。JavaScript 不像其他语言那样要求使用者一定是程序员,所以说它十分易于上手。而与此同时,JavaScr......

阅读(496)评论(0)