- 博客(2109)
- 收藏
- 关注
RSS订阅原创 新手小白入门SRC漏洞挖掘经验分享,网络安全零基础挖漏洞干货分享!
漏洞挖掘中的信息收集与工具应用 摘要:本文系统介绍了SRC漏洞挖掘过程中的关键环节,重点阐述了信息收集阶段的技术方法与工具应用。主要内容包括:1)资产收集的三大核心要素(子域名、搜索引擎、端口扫描)及相应工具(OneForAll、FOFA、Nmap);2)指纹识别与目录扫描技术(潮汐指纹库、Dirsearch);3)漏洞探测与验证工具(Burp、Sqlmap、MSF)的使用技巧。文章强调,信息收集的广度直接影响漏洞发现数量,而自动化工具与人工分析相结合是提高漏洞挖掘效率的关键。最后指出,细致的业务逻辑审查配
2025-12-15 16:48:45
1278
原创 自学黑客的11个步骤,新手零基础入门到精通全干货解析,收藏这一篇就够了
与许多较老的UNIX书籍不同,这是一本相对较新的Linux书籍,这本书是由Michael Kerrisk编写的,他是Linux手册的维护成员之一,与许多作者一样,他从1987年开始研究UNIX,并从20世纪90年代末开始关注Linux。这是另一个必不可少的基础条件,学习网络知识,理解网络的构成。这是学习UNIX最好的书之一,是由Richard W. Stevens编写的经典,UNIX是有史以来最好的软件之一,它已经有30多年的历史了,而且仍然很强大,只要UNIX仍然存在,这本书就会一直经典。
2025-12-15 16:46:27
1104
原创 SQL注入中的WAF绕过,渗透测试零基础入门到精通实战教程!
摘要: WAF(Web应用防火墙)通过流量监控、规则集匹配和行为分析保护Web应用免受SQL注入、XSS等攻击。攻击者常采用编码绕过(如+、-等符号替代空格)、大小写混合、字符串拼接(CONCAT函数)、十六进制编码(0x61646D696E)、SQL函数转换(ASCII/CHAR)、正则表达式(REGEXP)及堆叠查询等方式绕过WAF检测。其他方法包括修改HTTP头部、多字节字符编码和会话劫持。这些技术利用WAF规则漏洞或解析差异,强调需结合动态规则与行为分析提升防护能力。
2025-12-15 16:44:45
774
原创 什么是护网(HVV)?需要用到什么技术?参加护网一天真能赚几千吗?
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。在红队交战期间,训练有素的安全顾问会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络,或者损坏其数据。1、红队测试的意义评估客户对威胁行为的反应能力。通过实现预演(访问CEO电子邮件、访问客户数据等)来评估客户网络的安全态势。演示攻击者访问客户端资产的潜在路径。
2025-12-15 16:42:51
914
原创 XSS漏洞有哪几种?DOM型XSS和反射型有什么区别?SQL注入原理又是什么?网安面试题常见问题一文详解
面试安全漏洞总结 SQL注入 原理:利用未过滤的用户输入构造恶意SQL语句 防范:参数化查询、输入验证、最小权限、ORM框架、WAF XSS漏洞 类型:反射型(一次性)、存储型(持久)、DOM型(客户端) 区别:DOM型完全在浏览器执行,反射型需要服务器返回 防范:前端转义输出,后端输入过滤,CSP策略 CSRF攻击 原理:利用用户已登录状态伪造请求 防范:Token验证、SameSite Cookie、验证Referer SSRF攻击 原理:服务器发起内部网络请求 示例:利用文件读取功能访问内网 防范:限
2025-12-15 16:37:33
1067
原创 浅谈JS在挖掘CNVD通用漏洞中的渗透思路,附实战案例教程!
本文介绍了通过分析网页JavaScript文件挖掘CNVD通用漏洞的实用技巧。作者建议在传统漏洞测试无果时,重点检查网站加载的JS文件,特别是配置文件和app.xxx.js等关键文件。文中列举了常见的重要JS文件类型,如包含config、menu、login等关键词的文件,这些文件可能泄露后台登录地址或API接口信息。该方法已帮助作者成功挖掘多个CNVD通用漏洞。文章强调技术研究需合法使用,并欢迎同行补充交流。
2025-12-15 16:35:25
513
原创 Web安全中常见漏洞之XSS攻击(基础原理篇)黑客技术零基础入门到精通实战教程建议收藏!
摘要: 跨站脚本(XSS)漏洞源于应用程序未对用户提交的数据进行验证或转义,导致恶意脚本在浏览器中执行。漏洞分为三种类型:反射型(需用户点击恶意URL)、存储型(影响服务器安全)和DOM型(通过URL参数触发)。攻击者可窃取Cookie、劫持用户行为或结合CSRF攻击。测试方法包括提交恶意脚本验证响应,并利用编码、事件处理器等方式绕过过滤。存储型XSS需检查所有用户可控数据,DOM型需分析客户端JavaScript中的DOM操作。防御措施包括输入验证、输出编码及严格内容安全策略(CSP)。
2025-12-15 16:32:24
662
原创 【网络安全】这应该是全网最全面的内网渗透教程,不看一定会后悔!
本文介绍了内网渗透的基本概念和常用技术。主要内容包括:1)信息收集方法,如查看系统信息、进程、端口、域内主机等;2)密码获取工具,如Mimikatz、LaZagne等;3)基于SMB和IPC协议的口令攻击方式,利用域内资源共享特性进行横向渗透。文章强调内网渗透主要通过口令攻击扩展权限,并结合实际靶场环境演示了相关命令的使用,为理解内网安全提供了实操参考。
2025-12-15 16:31:31
994
原创 一文带你了解使用ARP欺骗的中间人 (MiTM) 攻击,黑客技术零基础入门到精通教程!
摘要: 中间人攻击(MiTM)是一种常见的网络攻击方式,攻击者通过将自己置于客户端和服务器之间,截获并可能篡改通信数据。在局域网中,ARP欺骗是实现MiTM的主要手段,利用ARP协议不验证响应的漏洞,攻击者可以伪造IP-MAC映射关系。本文介绍了使用Kali Linux中的arpspoof工具进行ARP欺骗的步骤,包括欺骗客户端和服务器、启用IP转发维持通信,以及利用dsniff等工具捕获敏感信息(如密码、URL等)。这种攻击方式风险极高,可导致数据泄露、通信篡改等问题。防范措施需加强ARP验证和网络监控。
2025-12-15 16:30:02
860
原创 全网最全的Cobalt Strike使用教程-内网渗透之域控攻击篇!黑客技术零基础入门到精通教程建议收藏!
本文介绍了多种攻击域控制器并提取ntds.dit文件的方法,包括使用ntdsutil.exe、vssadmin、vssown.vbs脚本、IFM卷影拷贝以及diskshadow工具。这些技术通过Windows卷影拷贝服务获取被锁定的活动目录数据库文件副本,涉及创建快照、挂载拷贝、复制文件等步骤。文章强调这些方法需在已获取管理员权限的前提下使用,并提供了详细的操作命令和流程说明,同时声明仅供技术交流学习使用。
2025-12-15 16:28:11
543
原创 牛!360大佬编写的《应急响应指导手册》太赞了(随时可能河蟹下架)黑客技术零基础入门到精通指南
【网络安全应急响应手册】分享一份178页的360专家编写的《应急响应指导手册》,内容详实、图文并茂,适合零基础学习者。手册涵盖完整的应急响应流程,包含清晰的目录结构和实用案例分析,是网络安全从业者的优质学习资源。另附全套网络安全学习资料包,包含系统学习路线图和进阶教程,助力网络安全技能提升。(配图含手册目录展示、内容示例及资料获取方式)
2025-12-12 15:21:36
185
原创 【网络安全渗透测试】零基础入门PHP伪协议精讲(文件包含漏洞)零基础入门到精通教程
本文介绍了PHP伪协议在网络安全渗透测试中的应用,重点讲解了php://input、php://filter、zip://、data://和phar://等常见伪协议的使用方法及攻击场景。文章从开发角度切入,分析了文件包含函数的潜在风险,并详细展示了如何利用这些伪协议进行文件读取、代码执行等操作。通过实际案例演示了不同伪协议的攻击方式,同时强调了相关PHP配置(如allow_url_include)对安全性的影响。最后还提供了网络安全学习资源获取方式,适合入门者了解基础渗透技术。
2025-12-12 15:19:42
582
原创 【网络安全】渗透测试零基础入门之XSS攻击获取用户cookie和用户密码(实战演示)
摘要: 本文介绍XSS攻击技术,通过ThinkPHP贷款平台漏洞演示获取管理员cookie及植入钓鱼页面的过程。攻击者利用XSS漏洞注入恶意脚本,当管理员访问后台时窃取其cookie,进而登录后台系统。随后搭建Flash钓鱼页面,生成免杀后门程序诱骗用户下载,最终控制目标主机。文章强调技术仅用于教育目的,提醒读者遵守法律规范。
2025-12-12 14:57:10
800
原创 自学黑客技术必看的五本书,满足你的黑客梦,收藏这一篇就够了!(附电子书)
想自学黑客技术?这5本书助你从入门到精通!①《黑客攻防:从入门到精通》零基础必读,系统讲解网络安全基础;②《kali Linux高级渗透测试》实战指南,详解渗透测试技术;③《计算机网络自顶向下方法》经典教材,深入解析网络原理;④《Python编程从入门到实践》Python入门首选;⑤《社交黑客》进阶读物,剖析社交工程攻防。配套学习资源包包含完整学习路线图,助力系统掌握网络安全技能。(148字)
2025-12-12 14:55:06
406
原创 【网络安全】渗透测试零基础入门之CSRF请求伪造技术详解,多种案例带你搞懂CSRF漏洞原理
本文介绍了CSRF漏洞的基本原理及利用方法,包括无防护检测、Referer同源绕过和Token校验漏洞。详细讲解了如何通过BurpSuite生成CSRF PoC,并配合XSS或文件上传实现攻击。针对不同防护机制(Referer检查、Token校验),提出了删除参数、置空或复用Token等绕过方法。文章还提供了网络安全学习资源,适合渗透测试初学者了解CSRF漏洞的检测与利用技术。
2025-12-12 14:53:29
270
原创 【网络安全】渗透测试零基础入门之Hydra密码爆破工具使用教程,超强干货建议收藏!
本文介绍了网络安全渗透测试中常用的Hydra密码爆破工具。Hydra是一款集成在Kali Linux中的开源暴力破解工具,支持SSH、RDP、FTP等多种协议。文章详细讲解了Hydra的基本参数用法,包括指定用户名(-l)、密码(-p)、字典文件(-L/-P)等,并通过SSH爆破实例演示了工具的具体使用方式。同时提供了常见服务(如远程桌面、共享文件、数据库等)的爆破命令格式,为网络安全初学者提供了实用的渗透测试入门指导。文末还附带了网络安全学习资源获取方式。
2025-12-12 14:40:47
344
原创 【网络安全】零基础入门Linux安全加固(非常详细)零基础入门到精通,收藏这一篇就够了
本文介绍了Linux系统安全加固的关键措施,主要包括账号管理与认证授权、通信协议、补丁管理、服务进程控制等方面。重点内容包括:为不同管理员分配独立账号、限制root远程登录、设置密码强度策略(最小长度8位,包含大小写字母/数字/特殊字符)、配置账户锁定机制(6次失败锁定)、修改关键目录权限(如/etc/shadow设为600)、调整umask值(027)以及限制系统资源使用等。同时强调应定期升级系统版本、关闭非必要服务端口,并通过ACL策略控制网络访问。这些措施可有效提升Linux系统的安全性,防范未授权访
2025-12-12 14:31:07
675
原创 【网络安全零基础入门】应急响应之服务器入侵排查,小白零基础入门到精通教程
本文分享了服务器入侵排查的应急响应教程,包括7个关键步骤:1)查看历史命令分析黑客操作;2)检查/etc/passwd和/etc/shadow文件排查异常用户;3)使用netstat和ps命令检测异常端口与进程;4)排查计划任务;5)检查开机启动项;6)查找异常文件;7)检查PATH环境变量。教程提供了具体的Linux命令和排查思路,帮助识别后门程序、挖矿病毒等安全威胁,最后还附赠网络安全学习资源包。适合想学习黑客技术和安全防护的读者参考。
2025-12-12 14:26:20
779
原创 【网络安全】渗透测试零基础入门之什么是文件包含漏洞?一文带你讲清其中的原理!
文件包含漏洞是一种注入型漏洞,允许攻击者通过修改文件路径执行任意文件。PHP中常用的包含函数如include()、require()等可能被利用。本地文件包含漏洞(LFI)可读取系统敏感文件,如Windows的boot.ini或Linux的/etc/passwd。漏洞常配合文件上传或Apache日志利用,通过上传图片马或写入恶意代码到日志文件,再包含执行。防御措施包括严格校验用户输入、限制文件包含路径等。
2025-12-12 14:24:58
676
原创 【网络安全】渗透测试零基础入门之Nmap的安装和使用,超强干货建议收藏!
Nmap是一款开源的网络扫描工具,用于检测主机在线状态、端口开放情况、服务版本及操作系统信息。本文介绍了Nmap的主要功能(主机发现、端口扫描、服务探测等)、Windows系统下的安装步骤(从官网下载安装包、自定义安装路径等),以及基本使用命令参数(如-sn主机发现、-sV服务版本探测、-p指定端口等)。通过命令行示例展示了如何扫描网段、批量处理IP列表、排除特定主机等操作,帮助用户快速掌握Nmap的常用功能。
2025-12-12 14:23:09
309
原创 手把手教你Kali Linux安装+获取root权限+远程访问!保姆级教程建议收藏!
Kali Linux是基于Debian的Linux发行版,专为渗透测试和安全研究设计,内置了Wireshark、Metasploit等大量安全工具。本文详细介绍了Kali的下载与安装方法,推荐新手使用虚拟机安装,并逐步指导用户如何修改root权限、配置SSH远程登录及设置SSH自启动。最后演示了通过Xshell连接Kali系统的步骤,为网络安全学习者提供了实用指南。文章还附带了网络安全学习资源获取方式,适合初学者系统学习网络安全知识。
2025-12-10 15:58:45
606
原创 SSRF服务端请求伪造详解(附带ctfhub靶场实战-保姆级)网络安全零基础入门到精通实战教程!
本文介绍了SSRF(服务端请求伪造)漏洞的原理、分类、常见漏洞函数及攻击方式。SSRF漏洞主要由服务端未对目标地址过滤导致,允许攻击者访问内网系统。漏洞分为有回显和无回显两类,可利用http、file、dict、gopher等协议进行攻击。文章详细分析了各协议的攻击手法,包括端口扫描、文件读取、服务探测等,并提供了Redis未授权访问等具体攻击案例。此外,还总结了多种SSRF绕过技术,如使用特殊域名、进制转换、302跳转等方法绕过限制。最后介绍了FastCGI协议在内网攻击中的应用场景。
2025-12-10 15:54:59
772
原创 渗透测试实战教程—组合拳带你从0-1 Getshell的完整过程建议收藏!
本文记录了一次典型的渗透测试过程,通过接口泄漏发现未授权访问漏洞,进而利用SQL注入获取用户信息。攻击者通过添加用户和权限提升获取系统权限,最终利用未过滤的文件上传功能获取服务器控制权。文中详细展示了从信息收集到权限提升的完整攻击链,并最终协助修复了所有漏洞。作者强调所有技术仅用于安全研究,严禁非法使用。
2025-12-10 15:51:29
237
原创 仅仅一通电话就可以搞到你的IP是怎么做到的?黑客技术零基础入门到精通教程
是的,抓IP并不是百分百出,所以我们需要把所有的通讯软件的加好友方式设置为需要验证,不然你想想,一个陌生人加你好友并且上来就给你打电话下一秒就报你地址有多么的可怕,还有手机号搜索,同步通讯录这两项也要关了,十分的恶心。总得来说,我们大家在上网的时候一定要注意陌生电话,不要轻易的去接陌生电话和打开陌生链接,也不要去同意陌生人的好友,你可能会为你的粗心大意付出惨痛的代价。然后调回Wireshark,发现跳出了一行行的数据是不是,不要慌,我们只看这一项。因篇幅有限,仅展示部分资料,朋友们如果有需要。
2025-12-10 15:47:52
247
原创 月薪从5K到13.2W,白帽黑客到底有多赚钱?一文告诉你黑客是如何靠挖漏洞赚钱的
摘要 随着大数据时代到来,Web安全人才需求激增,行业薪资普遍达15k以上。白帽子可通过企业专职或自由职业(如提交漏洞获取奖金)获得高收入。漏洞挖掘流程包括选择SRC平台、资产信息收集、工具使用等,需掌握搜索引擎、企业查询、域名分析等技术。常见漏洞类型包括SQL注入、XSS、文件上传等,学习实战报告可提升挖掘能力。保持长期学习和积极心态是成为优秀安全研究者的关键。
2025-12-10 15:44:33
756
原创 手把手教你CNVD漏洞挖掘 + 资产收集(看完你也可以轻松做到!)网络安全实战教程分享
本文分享了挖掘CNVD漏洞的思路和方法,重点介绍了信息收集和垂直越权漏洞的利用。通过GitHub搜索语法和GitDorker工具可获取敏感信息,利用企业查询网站确定目标资产,再通过FOFA引擎检索相关系统。文章演示了弱口令和垂直越权漏洞的发现过程:先注册普通用户获取登录数据包,修改管理员登录失败的返回包实现越权访问。最后指出可通过系统特征字符串进行通杀漏洞挖掘,提交CNVD获取证书。整个流程从信息收集到漏洞验证提供了完整的技术路径。
2025-12-10 15:40:52
800
原创 记网安小白从0到1的网络钓鱼体验,黑客技术零基础入门到精通教程!
摘要: 本文记录了首次使用Gophish搭建钓鱼平台的实战经历。项目需求促使团队尝试社工钓鱼,但搭建过程意外频发:CentOS 7系统因GLIBC版本过低(仅2.17)导致Gophish无法运行,升级至2.28时又遭遇gcc/make版本不兼容问题。通过手动升级GCC至8.0、make至4.3后,仍卡在glibc编译环节。整个过程暴露出环境适配的重要性,也展现了红队工作中技术落地的真实挑战。最终虽未完成搭建,但为后续钓鱼测试积累了宝贵经验。(注:本文技术仅限合法授权场景使用) 关键词: 钓鱼攻击、Gophi
2025-12-10 15:39:22
719
原创 网安新手必刷的五个渗透测试靶场!黑客技术零基础入门到精通教程!
本文介绍了五款适合新手学习的渗透测试靶场:DVWA、Pikachu、SQLi-Labs、Upload-Labs和XSS-Labs。DVWA包含多种Web漏洞测试场景,支持不同难度级别;Pikachu模拟真实Web环境,涵盖SQL注入、XSS等漏洞;SQLi-Labs专注于SQL注入漏洞学习;Upload-Labs提供文件上传漏洞实践;XSS-Labs专注跨站脚本攻击测试。每款靶场都提供了详细的配置指南和使用说明,适合网络安全初学者进行实战演练。文末还分享了网络安全学习资源包获取方式。
2025-12-10 15:38:00
956
原创 实战分享某单位漏洞挖掘的一些手法,全面带你了解短信轰炸验证码可爆破任意用户注册spf邮件伪造漏洞
本文分享了众测项目中发现的三个安全漏洞案例。首先通过资产测绘工具收集目标域名和子域名,重点介绍了短信轰炸漏洞的绕过技巧(利用特殊字符突破验证码发送限制)和验证码爆破方法。其次展示了任意用户注册漏洞的利用过程,通过抓包爆破四位数验证码实现未授权注册。最后解析了SPF邮件伪造漏洞的原理和危害,演示了如何检测域名SPF记录配置缺陷。这些漏洞均存在实际安全风险,文章针对每个漏洞给出了具体的修复建议。案例展示了众测过程中常见的安全问题挖掘思路和验证方法。
2025-12-10 15:25:41
668
原创 upload-labs通关全教程(建议萌新收藏)文件上传漏洞超详细解析,网络安全零基础入门到精通教程建议收藏!
文件上传漏洞是指由于对用户上传文件处理不当,导致攻击者可上传恶意文件(如WebShell)的安全漏洞。本文通过upload-labs靶场复现了多种文件上传绕过技术:1)第一关通过修改/禁用JS绕过前端验证;2)第二关修改MIME类型绕过;3)第三关使用特殊后缀(php1/php2);4)第四关利用.htaccess文件或Windows特性(php. .);5)第六关大小写绕过(.Php);6)第七关添加空格绕过;7)第八关利用未过滤末尾点号。实验环境为CentOS7+PHP5.5+Nginx,并推荐使用工具
2025-12-10 15:23:45
868
原创 【网络安全渗透测试】之XXE漏洞及利用方法解析,零基础入门到精通收藏这一篇就够了!
本文介绍了XML外部实体(XXE)漏洞的原理与利用方法。首先讲解了XML基础知识,包括XML语法、DTD定义、实体类型等核心概念。重点分析了XXE漏洞产生的原因——DTD中外部实体的不安全引用,并详细展示了利用该漏洞读取系统文件的具体步骤,包括构造恶意XML请求、使用SYSTEM标识符引用外部资源等。此外还介绍了无回显的Blind XXE攻击方式。文章通过实例演示了如何利用XXE漏洞获取服务器敏感文件,为网络安全渗透测试提供了技术参考。最后提醒读者注意该漏洞的防御措施。
2025-12-09 16:12:17
700
原创 学习干货实战学习应急响应之Windows日志分析,网络安全零基础入门到精通教程!
本文通过Windows服务器入侵案例,分析攻击者在RDP爆破、隐藏账号创建、远程Shell植入等操作痕迹。主要内容包括:1)通过日志分析发现扫描IP及次数;2)审计安全日志确认RDP爆破失败次数和成功登录IP;3)发现攻击者创建的隐藏账号hacker$和影子账号hackers$;4)追踪远程Shell程序及连接信息。该案例展示了Windows应急响应中日志分析、账号审计和恶意程序检测的关键技术要点,为安全人员提供实战参考。
2025-12-09 16:11:08
821
原创 2025最新漏洞挖掘教程,从0开始带你讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
《渗透测试全流程详解》摘要 渗透测试是通过模拟黑客攻击来发现系统漏洞的安全评估方法,分为白盒测试(已知源码)和黑盒测试(仅知URL)。完整流程包括: 目标确认 信息收集(最重要环节) 主机/端口扫描 网站目录探测 旁站/C段扫描 指纹识别 公司敏感信息搜集 漏洞探测(SQL注入/XSS/文件上传等) 漏洞利用(使用工具如Sqlmap、Burpsuite) 内网转发 内网横向渗透 痕迹清除 撰写报告 文中详细介绍了各环节的技术要点和常用工具(Nessus、nmap、AWVS等),强调信息收集的全面性直接影响渗
2025-12-09 16:09:35
1038
原创 【网络安全零基础入门】之MSF使用教程永恒之蓝漏洞扫描与利用教程,全文干货建议收藏!
摘要 本文介绍了Metasploit框架(MSF)的基础知识及其在网络安全渗透测试中的应用。MSF是一个开源的渗透测试工具,包含辅助模块、漏洞利用模块、攻击载荷模块、后期渗透模块和编码工具模块五大组件。文章详细讲解了MSF的启动、更新及渗透攻击步骤,并通过永恒之蓝漏洞(Eternal Blue)实验演示了MSF的实际操作流程。实验环境包括Win7、WinXP靶机和Kali攻击机,重点复现了SMB协议漏洞的扫描、利用及免杀过程。此外,还介绍了使用辅助模块进行端口扫描的方法,为初学者提供了网络安全渗透测试的入门
2025-12-09 16:02:05
590
原创 【网络安全零基础入门教程】Web安全渗透测试-pikachu&DVWA靶场搭建教程!
本文介绍了网络安全渗透测试入门阶段常用的5个漏洞靶场搭建教程,重点演示了在Win11系统下使用PHPStudy环境搭建Pikachu、DVWA和SQLi-Labs三个靶场的详细步骤。内容包括PHPStudy的下载安装及常见问题解决方法、各靶场的数据库配置和初始化安装过程,并提供了相应的下载地址。教程针对Web安全初学者设计,通过实际操作帮助新手掌握靶场搭建技能,为后续的渗透测试学习提供实践环境。文中还特别强调了数据库配置过程中的注意事项和常见错误的解决方案。
2025-12-09 16:00:59
751
原创 黑客技术渗透测试零基础入门教程,一文讲清什么是内网渗透!
本文介绍了网络安全中的内网渗透技术,重点讲解了内网渗透的定义、与普通外网渗透的区别,以及内网横向渗透的6个关键步骤:获取初始权限、信息收集、水平移动、权限提升、持久化和目标实现。文章还提供了Windows域环境下的信息收集方法,包括查看主机是否存在域、获取域控IP等实用命令。最后分享了网络安全学习资源,适合想入门渗透测试的学习者参考。
2025-12-09 15:59:05
298
原创 2025全网最强的CTF入门指南、CTF夺旗赛及刷题网站(建议收藏!)
CTF(夺旗赛)是起源于1996年DEFCON黑客大会的网络安全竞赛形式,现已成为全球流行的技术比拼方式。竞赛主要分为解题模式(Jeopardy)、攻防模式(Attack-Defense)和混合模式(Mix)三种类型。题目涵盖PWN溢出、MISC安全杂项、CRYPTO密码学、WEB渗透、REVERSE逆向、PPC编程和STEGA隐写等七大方向,考察选手在漏洞挖掘、加密解密、逆向分析等方面的综合能力。赛事既考验技术实力,也注重团队协作和体力耐力,其中DEFCON CTF被誉为CTF界的"世界杯&qu
2025-12-09 15:57:53
588
原创 纯小白零基础学黑客技术该怎么学?这两个误区你一定要知道(少走十年弯路!)
影视作品中的黑客形象与现实存在差距,真正的黑客技术需要长期积累而非瞬间完成。文章将黑客成长分为四个阶段:脚本小子、网络安全工程师、研究员、安全大咖,并指出入门并不难但需要持续学习。针对自学,作者提醒避免两个误区——过度侧重编程基础或零散学习黑客技能,建议采用"技能先行、基础补充"的方法。最后提供了三阶段学习路径:先掌握Web基础与服务器原理,再学习主流漏洞利用,最后研究漏洞挖掘与审计。文末附有网络安全学习资源包获取方式。
2025-12-09 15:42:42
638
原创 手把手带你了解SRC漏洞挖掘思路手法(非常详细)网络安全零基础入门到精通,收藏这一篇就够了!
本文分享了SRC漏洞挖掘的经验与技巧,强调细致分析和耐心的重要性。文章介绍了国内主流公益SRC平台(漏洞盒子、补天、CNNVD、教育漏洞平台)的特点与提交门槛,并提供了前期准备工作所需的资产测绘工具、企业信息查询网站和常用漏洞库。重点讲解了批量漏洞挖掘方法:通过在线文库获取漏洞POC,利用空间搜索引擎定位资产,使用工具批量收集存活URL并进行漏洞测试。最后以泛微OA漏洞为例,展示了批量检测脚本的编写思路。
2025-12-09 15:34:26
987
原创 十大常见黑客技术(非常详细)零基础入门到精通,收藏这篇就够了
了解这些常见的黑客技术,如网络钓鱼、DDoS、点击劫持等,可以为您的人身安全派上用场。以下是你应该知道的十大常见黑客技术。使用简单的黑客攻击,黑客可以了解您可能不想透露的未经授权的个人信息。了解这些常见的黑客技术,如网络钓鱼、DDoS、点击劫持等,可以为您的人身安全派上用场。由于这些原因,了解一些通常用于以未经授权的方式获取您的个人信息的黑客技术也很重要。
2025-12-09 15:33:01
498
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人