SSL--Secure Sockets Layer 安全套接层 目的：私密性，信息完整性和身份认证 工作层：工作在应用层和传输层之间。SSL是一个不依赖于平台和运用程序的协议，位于TCP/IP协议与各种应用层协议之间。 SSL在协议层中的位置 SSL的体系结构中包含两个协议子层，其中底层是SSL记录协议层（SSL Record Protocol L…

写这个是因为之前在用dirsearch时，dirsearch无法连接到dns服务器，但是虚拟机ping命令可以ping通 Ping命令 ICMP DNS和Ping Ping命令 在了解ping之前要先了解一下ICMP协议，因为ping 是基于 ICMP协议工作的。 ICMP（Internet Control Message Protoco…

执行tracert命令。在Windows 上执行tracert 命令后，首先计算机向目的服务器发送IP 数据包。Windows 上使用的是与ping 同样的ICMP 回送请求报文。但是，有一点和通常的回送请求不一样。那是，最初将IP 首部的TTL(生存时间)字段设为1 这一点。路由器每转送一次数据包就将TTL 的值减1。当TTL 变为0 的时候，按…

kali linux ping 网址很慢或者无法ping通（dns Temporary failure in name resolution），能ping ip。 解决方案： 显然是dns解析出现问题，/etc/resolv.conf 添加“nameserver 114.114.114.114”或者“ nameserver 8.8.8.8” 添加后…

两者是包含和被包含的关系，主机是一个统称，所有服务器都是主机，但并非所有主机都是服务器。 主机和服务器的主要差别，主机是连接到网络的计算机或其他设备，而服务器是连接到网络中提供服务的软件或硬件设备。 定义上的差别 主机是任何可以连接到网络的计算机设备，而服务器是向网络中的其他设备提供服务的软件或硬件设备。 功能上的差别 服务器一般是指提供服务的主机…

主要记录下java实例化对象、静态代码块等代码执行的顺序 Java程序在执行过程中，类，对象以及它们成员加载、初始化的顺序如下：1、首先加载要创建对象的类及其直接与间接父类。2、在类被加载的同时会将静态成员进行加载，主要包括静态成员变量的初始化，静态语句块的执行，在加载时按代码的先后顺序进行。3、需要的类加载完成后，开始创建对象，首先会加载非静态的…

反序列化 反序列化漏洞是基于序列化和反序列化的操作，在反序列化——unserialize()时存在用户可控参数，而反序列化会自动调用一些魔术方法，如果魔术方法内存在一些敏感操作例如eval()函数，而且参数是通过反序列化产生的，那么用户就可以通过改变参数来执行敏感操作，这就是反序列化漏洞。反序列化漏洞是基于序列化和反序列化的操作，在反序列化——un…

总是觉得自己挖不到src 但是在师父@poc-sir指导下发现还是自己挖的不够深入 总结下挖src的步骤 1信息收集 子域名收集 扫描器扫描、https://crt.sh、谷歌语法、fofa、http://www.bountyteam.com/sumap/ 有子域名后还可以更具ip的权重去猜测 对象还有什么隐藏的ip vx上面也是有一些信息的 2目…

SQL注入 import requestsimport timeimport sysreload(sys)sys.setdefaultencoding('utf-8')payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.')for i in range(1,20): for _str in…

SSRF核心思想：攻击内网。。 漏洞危害(可以使用的攻击手段) 利用SSRF漏洞可以对对外网开发的服务器所在内网进行端口扫描，获取一些服务信息。利用SSRF漏洞攻击内网web应用（通过get传参就可以实现的攻击，如：struct2,Sqli等）。利用SSRF漏洞配合使用file协议对本地文件进行读取。利用SSRF漏洞攻击fastcgi 反弹shel…