网络安全工程师 + 更多
《30天打造安全工程师》第13天:80端口攻击总结
我将描述每种攻击的作用,和其怎样利用这些漏洞进行攻击(注意host的意思你应该懂吧) (1)'.' '..' 和 '...' 请求 这些攻击痕迹是非常普遍的用于web应用程序和web服务器,它用于允许攻击者或者蠕虫病毒程序改变web服务器的路径,获得访问非公开的区域。大多数的CGI程序漏洞含有这些'..'请求。 Example: http://host/cgi-bin/lame.cgi?file=
Autocrack:一款强大的自动化Hash破解工具
今天给大家介绍的是一款名叫Autocrack的自动化Hash破解工具。 工具介绍 实际上,Autocrack不仅是一个Python脚本,它是一个Hashcat封装器,它能够帮助渗透测试人员自动化执行Hash破解任务。这个脚本提供了多种功能来帮助测试人员选择字典集和破解规则,而且还能够进行暴力破解攻击。 Autocrack基于的是Python 3,这个Python版本已经是现在很多Linux发行版系
《30天打造安全工程师》第12天:从ipc$ 连接失败讲起
我们最好先来看一下什么是ipc¥连接。ipc(internet process connection)是远程网络连接。而ipc$,admin$,c$,d$,e$这些则是winnt和win2000的默认共享。ipc$就是一种管道通讯,它在两个ip间建立一个连接。我们一般看到对方主机开了139,445,我们一般就说对方开了共享。就可以尝试用ipc¥连接,具体怎么样你应该没问题了吧。(这种功能只在win
《30天打造安全工程师》第11天:MySQL简单介绍
先说第一个如何与数据库建立连接。 一般来说,我们访问MySQL数据库时,首先需要使用telnet远程登录安装数据库系统的服务器,然后再进入MySQL数据库。MySQL数据库的连接命令如下: mysql -h hostname -u username -p[password] 或者: mysql -h hostname -u username --password=password 其中,hostn
代码审计 | Discuz最新版代码执行漏洞
0×00概述 近期审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。 0×01 白盒审计 源码信息:Discuz_X3.4_GIT_SC_UTF8 问题文件: \upload\install\index.php 漏洞类型:配置文件写入导致代码执行
Mquery:一款带有Web前端的YARA恶意软件查询加速器
搜索特定恶意软件样本很困难?不用怕,今天给大家介绍一款名叫Mquery的工具,它带有友好的Web前端界面,可帮助大家迅速寻找到自己想要的恶意软件样本。多亏了我们的UrsaDB数据库,正是因为有了它,Mquery才可以在一眨眼的功夫给到你想要的数据。 工作机制 YARA的速度毋庸置疑,但是通过给定的数据签名来搜索大型数据库相对来说还是比较慢的。为了解决这个问题,我们实现了一个名叫UrsaDB的自定义
VIVO NEX魔性摄像头,不仅能拍照还能排雷?
现今,“全面屏”已然成为了智能手机的标配,没个全面屏手机,都不好意思叫自己手机厂商。随着VIVO NEX的推出,也真正出现了突破90%屏占比的手机,成为最接近“全面屏”的手机。这款手机也不出意外的火遍了大江南北。 十分酷炫的升降摄像头 带着满满的黑科技出现在世人面前,其新颖的技术和充满科幻感的外观让海内外手机爱好者集体沸腾了。 但升降式摄像头除了带来机械感体验以外,似乎还带来了一些意想不到的结果
《30天打造安全工程师》第10天:说SQL
先说说什么叫SQL?大家反正都觉得这SQL和数据库有关,其实也不是这样的。SQL是一种结构化数据库查询语言,其发音为“sequel”或“S-Q-L”。尽管MICROSOFT以其特有的方式加入了所有权声明,但它在大多数据库应用中近乎成为一种标准。简言之,它是一种使用你选择的标准从数据库记录中选择某些记录的方法。 因为它的重要所以我将会花一定的时间来讲它,前面的东西大家不说可能用这就会了,但这个一定要
系统运维工程师 + 更多
Create Volume 操作(Part I) – 每天5分钟玩转 OpenStack(50)
前面已经学习了 Cinder 的架构和相关组件,从本节我们开始详细分析 Cinder 的各种操作,首先讨论 Cinder 如何创建 volume。 Create 操作流程如下: 客户(可以是 OpenStack 最终用户,也可以是其他程序)向 API(cinder-api)发送请求:“帮我创建一个 volume”。 API 对请求做一些必要处理后,向 Messaging(RabbitMQ)发送了一
准备 LVM Volume Provider – 每天5分钟玩转 OpenStack(49)
Cinder 真正负责 Volume 管理的组件是 volume provider。 Cinder 支持多种 volume provider,LVM 是默认的 volume provider。 Devstack 安装之后,/etc/cinder/cinder 已经配置好了 LVM,如下图所示: 上面的配置定义了名为“lvmdriver-1”的 volume provider,也称作 back-en
Linux运维工程师入门的10个基本技能点
1、linux系统基础 这个不用说了,是基础中的基础,连这个都不会就别干了。 2、网络服务 服务有很多种,每间公司都会用到不同的,但基础的服务肯定要掌握,如FTP, DNS,SAMBA, 邮件, 这几个大概学一下就行。 LAMP和LNMP是必须要熟练,我所指的不是光会搭建,而是要很熟悉里面的相当配置才行,因为公司最关键的绝对是WEB服务器,所以nginx和apache要熟悉,特别是nginx一定要
掌握 cinder-scheduler 调度逻辑 – 每天5分钟玩转 OpenStack(48)
上一节我们详细讨论了 cinder-api 和 cinder-volume,今天讨论另一个重要的 Cinder 组件 cinder-scheduler。 创建 Volume 时,cinder-scheduler 会基于容量、Volume Type 等条件选择出最合适的存储节点,然后让其创建 Volume。 下面介绍 cinder-scheduler 是如何实现这个调度工作的。 在 /etc/cin
Nginx网站架构实战——16、nginx连接memcached
Nginx网站架构实战——01、Nginx介绍及编译安装 Nginx网站架构实战——02、Nginx信号量 Nginx网站架构实战——03、Nginx虚拟主机配置 Nginx网站架构实战——04、Nginx日志管理 Nginx网站架构实战——05、Nginx定时任务完成日志切割 Nginx网站架构实战——06、Location详解之精准匹配 Nginx网站架构实战——07、Location之正则匹
每天5分钟玩转 OpenStack
写在最前面 – 每天5分钟玩转 OpenStack(1) 虚拟化 – 每天5分钟玩转 OpenStack(2) 准备 KVM 实验环境 – 每天5分钟玩转 OpenStack(3) 启动第一个 KVM 虚机 – 每天5分钟玩转 OpenStack(4) 远程管理 KVM 虚机 – 每天5分钟玩转 OpenStack(5) CPU 和内存虚拟化原理 – 每天5分钟玩转 OpenStack(6) KV
数据存储管理员 + 更多
SQL与MySQL:有什么区别?
什么是SQL? SQL是一种用于操作数据库的语言。SQL是用于所有数据库的基本语言。不同数据库之间存在较小的语法更改,但基本的SQL语法基本保持不变。SQL是S tructured Q uery Language 的简短缩写。根据ANSI(美国国家标准协会),SQL是操作关系数据库管理系统的标准语言。 SQL用于访问,更新和操作数据库中的数据。它的设计允许管理RDBMS中的数据,例如MYSQL。S
不得不看,只有专家才知道的17个SQL查询提速秘诀!
除非你遵循本文介绍的这些技巧,否则很容易编写出减慢查询速度或锁死数据库的数据库代码。 由于数据库领域仍相对不成熟,每个平台上的 SQL 开发人员都在苦苦挣扎,一次又一次犯同样的错误。 当然,数据库厂商在取得一些进展,并继续在竭力处理较重大的问题。 无论 SQL 开发人员在 SQL Server、Oracle、DB2、Sybase、MySQL,还是在其他任何关系数据库平台上编写代码,并发性、资源管理
Linux运维必会的mysql企业面试题大全
(1)基础笔试命令考察 1.开启MySQL服务 /etc/init.d/mysqld start service mysqld start systemctl start mysqld 2.检测端口是否运行 lsof -i :3306 netstat -lntup |grep 3306 3.为MySQL设置密码或者修%独立,互不影响的对外提供服务,便于节约服务器资源与后期架构扩展多实例的配置方法有
MySQL数据库root账户密码忘记两种处理方法
方法1: 1.停止MySQL服务 # kill `cat /var/run/mysqld/mysqld.pid` 或者 # pkill mysqld 2.创建一个密码赋值语句的文本文件 # vi mysql-init ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass!6'; 在加载授权表之前重置密码。 3.使用—init-file选项启动
Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?
了解过两者的同学有那么个大致的印象: 1、redis与memcached相比,比仅支持简单的key-value数据类型,同时还提供list,set,zset,hash等数据结构的存储; 2、redis支持数据的备份,即master-slave模式的数据备份; 3、redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用等等。 这似乎看起来redis比memcach
MongoDB数据库入门的5个简单步骤
对于希望使用MongoDB的组织,学习如何可以压倒:哪里,你是怎么开始使用这个强大的数据库?随着数据库的普及,IT领导者需要清楚地了解其基础以及更好的使用技巧。 对于希望使用分布式文件存储的数据库MongoDB的组织来说,如何开始使用这个强大的数据库是其所面临的挑战。随着数据库的普及,IT领导者需要对其基础有一个清晰的了解以及更好的使用技巧。 以下是确保成功应用MongoDB数据库的五个简单步骤。
项目开发工程师 + 更多
触发条件: php 7.2.x,开启gd库。只需要三行代码即可完成! 我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。 php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服务器上试试: 啊哈,一样的结果。触发这个问题的代码如下: $im=imagecreate(100,100); imageantialias($im,true); imageline($im,
手把手|20行Python代码教你批量将PDF文件转为Word格式(包教包会)
在日常工作或学习中,经常会遇到这样的无奈: “小任,你把这个PDF中的文件码出来发我” 倒霉,2M的PDF12点也完不了啊! 很多时候在学习时发现许多文档都是PDF格式,PDF格式却不利于学习使用,因此需要将PDF转换为Word文件,但或许你从网上下载了很多软件,但只能转换前五页(如WPS等),要不就是需要收费,那有没有免费的转换软件呢? so,菜鸟分析给各位带来了一个免费简单快速的方法,手把手教
使用Python和Tesseract来识别图形验证码
各位在企业中做Web漏洞扫描或者渗透测试的朋友,可能会经常遇到需要对图形验证码进行程序识别的需求。很多时候验证码明明很简单(对于非互联网企业,或者企业内网中的应用来说特别如此),但因为没有趁手的识别库,也只能苦哈哈地进行人肉识别,或者无奈地放弃任务。在这里,我分享一下自己使用Python和开源的tesseract OCR引擎做验证码识别的经验,并提供相关的源代码和示例供大家借鉴。 一、关于图形验证
运维学python之爬虫工具篇(一)Requests库的用法
历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之
运维学python之爬虫实战篇(二)爬取伯乐在线面向对象图片
历史: 运维学Python之爬虫基础篇(一)开篇:http://www.tiejiang.org/20403.html 运维学Python之爬虫基础篇(二)Urllib模块使用:http://www.tiejiang.org/20404.html 运维学Python之爬虫基础篇(三)Urllib模块高级用法:http://www.tiejiang.org/20405.html 运维学python之
互联网最新资讯 + 更多
入侵300家网站权当练手,半个月出师的“黑客”流下了悔恨的泪水……
作为一名黑客的确可以很酷,指尖在键盘跳跃就能操控世界,甚至还能拯救全人类,但这大多只是电影里的情节。为了炫技,尝试盗QQ号、给朋友发恶作剧木马程序,相信很多人年少轻狂都干过这样的事情;不过为了练手,入侵多达300个网站,顺带窃取用户信息牟利,下面这位半个月出师的“黑客”不出意外的获罪入狱。 根据成都商报报道,大学毕业的唐斌(化名)在求职受挫之后,在网上看到黑客技术培训的内容,出于兴趣和好奇直接奔赴
微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿
安全客2018季刊第二季活动正式开启 | 数字货币钱包抢夺战升级!
坏了,人脸识别能检测出同性恋?
逃离北上广?程序员的北漂生活
中兴事件之后 任总最新内部讲话
IT人怎能忘记这些开源?
线下沙龙 + 更多
“安全+”沙龙第九期—成都站 | 7月7日
“安全+”沙龙第九期—成都站 | 7月7日 “安全+”确定于2018年7月7日(周六)在成都市举办第九期沙龙。本次活动是继第八期“安全+”沙龙杭州站之后举办的又一次线下沙龙,届时约有60位左右来自于各行业的企业信息安全负责人、安全专家出席本次沙龙。 报名链接: https://www.bagevent.com/event/1603138?code=0216Aj9e1oDepr0VWebe1RXe9
七月份的尾巴,是看雪安全峰会!
看雪2018安全开发者峰会 2018年7月21日,拥有18年悠久历史的老牌安全技术社区——看雪学院联手国内最大开发者社区CSDN,倾力打造一场技术干货的饕餮盛宴——2018 安全开发者峰会,将在国家会议中心隆重举行。会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。 峰会将聚焦开发与安全,“万物互联,安全开发”,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关
2018第三届SSC安全峰会议题征集开始啦!
这是一场汇集全国安全人士的千人峰会 这是一场拥有资深专家学者的干货分享平台 这是一场聚焦顶尖白帽子大佬的安全盛宴 在这里 您可以与大家分享时下最新最热的技术 在这里 您可以带领大家探索攻破一切的奥秘 在这里 您可以和大家一起憧憬无限可能的安全未来 …… 2018第三届SSC安全峰会 第三届SSC安全峰会将于9月份在古都西安盛大开启!现在议题征集活动正式开始!期待您为我们带来一场精彩绝伦的视听体验!
