Oracle Virtual Box是免费的, 几百MB, 很好安装。  但是用起来特别麻烦。之前记录过过程。  我的宿主机: i5 6500, 16G内存, 2G现存的GTX 260。搞定星际2, 暗黑等游戏妥妥的。 最大的痛点在于: 1. 性能差。 特别是图形化的操作界面,卡顿特别严重。 似乎没用到显卡驱动 2. 一不小心就死机, 特别是鼠标碰到右下角个各种状态图标的...
Hacker 暴力破解 Patator Hydra的替代者
参考: https://github.com/lanjelot/patator hydra 貌似不能只发POST请求。 每次都需要发送GET, 和POST 一起。 比较浪费啊,所以搜索的时候, 就搜到了patator.  安装略。  使用 查看帮助: patator http_fuzz -h .  会有好长一大堆。  完整的使用帮助在这里...
Hacker 巨牛无比的暴力破解字典 Seclist
参考:https://github.com/danielmiessler/SecLists 300mb 左右。 包罗万象,包括: 用户名, 密码 等等。 
Hacker Ssrf攻击 服务器端伪造攻击 Todo
其实我还没看明白...
Hacker 攻击方式 反弹shellreboundshell
参考:http://www.codeblogbt.com/archives/127544 这个英文文章对于反弹有比较详细的 bash  命令的说明 另外,也参考:http://foreversong.cn/archives/1251 这里是 乌云 的一个实际例子 http://www.anquan.us/static/bugs/wooyun-2016-0205901.html...
Hacker 攻击方式 之 Imagemagick的漏洞已经有了
参考:https://segmentfault.com/a/1190000005072155 不过我自己尝试,都是不可以的。。。好奇怪。 
Hacker Googlehacking 很有意思必备工具
完全通过google搜索来查询某个域名的漏洞。  参考:  https://pentest-tools.com/information-gathering/google-hacking# 直接看截图: 非常有意思。  思路其实很简单,  1. 例如想查询该网站的log, 就是搜索关键字:site:siwei.me ext:log site:siwe...
Hacker 数据库下执行shell命令
MySQL 下运行Linux Shell: 1. 进入到mysql 命令行。 2. mysql > \! bash 就可以了。 (注意,直接输入 \! bash) 还可以输入其他任意合法的内容。 MSSQL server: 使用一种叫做 xp_shell 的存储过程。 可以使用sqlmap 自动的运行。
Hacker Sql提权 很好的文章sqlmap基本用法
https://www.cnblogs.com/tonykan/p/3452043.html  这个是处理MS SQL SERVER的。 使用了xp_shell 来提权。 https://www.cnblogs.com/jshy/p/5616568.html 也是用来提权的 。也是MS SQL SERVER. 对于 kali 的使用很犀利。 https://blog.csdn...
Hacker Sql注入课程 Sqli
练习sql注入可以通过sqli-labs来练习 https://github.com/Audi-1/sqli-labs
Hacker Hydra的使用 暴力破解密码 别用了 用patator
参考  http://blog.51cto.com/simeon/2066269 (貌似原作者是: http://www.freebuf.com/sectool/159488.html) hydra的使用, 需要跟字典配合。 可以参考这个字典项目:(300MB)   https://github.com/danielmiessler/SecList...
Linux 如何搭建mailserver失败了
这个领域我一直没有涉足过. 之前只是在使用 qqmail, 163 mail, 不过现在这两者似乎开始不支持 自定义域名了. 一个域名邮箱一千块,没有啥技术含量(来自软件程序员的藐视... @.@ ) 所以我打算自己搭建了.  参考:  https://www.howtoforge.com/tutorial/perfect-server-ubuntu-18-04-ngin...
Penetrationtesting渗透测试笔记
测试邮件的账户:VRFY, EXPN、 洋葱路由器 , 取得隐身效果 谷歌街景, 地图, WEB摄像头 使用应用社交网络获得信息 利用google进行黑客活动:  cache: 显示缓存版本 link: 列出所有包含某访问XX的链接的页面 info: 列出页面的相关信息 使用 archive.org 可以找到不复存在的网站。  渗透测试的几个步骤: 踩点(找到信息),枚举...
Kali 安装kalilinux
1. 下载iso. 官网: kali.org    下载地址: https://www.kali.org/downloads/ 2. 找到一个iso就可以了。 我下载的是 windows 64.   kali linux 64 . 其他的有很多的发行版。 我就下载了没用任何后缀的。  下面使用 vmware来安装 3. 安装vmwa...
Blockchain 如何造币erc 20token造币代币发币 Remix Erc20 Mint Solidity
参考:  https://steemit.com/ethereum/@maxnachamkin/how-to-create-your-own-ethereum-token-in-an-hour-erc20-verified **** 1. 发固定数量的币:  务必务必看这个, 看这个就够了 ***   最新版看这里: (我自己整理的文档) ...
Api Api接口签名和授权的过程auth
## 授权的原理: 对于WEB页面来说, 需要 "用户名" + "密码" 对于API来说, 就是需要 "公钥" + "私钥"   (  关键在这里) 用户名 = 公钥 , 密码 = 私钥 至于把 用户名( 例如 jim@starcraft.com) 换成 公钥(例如 a1b2c3d4 ) 的原因,可能就是不希望被人网络抓包的时候,知道 当前的连接,对应的是哪个...
运维工具的使用nmap Hydra等
nmap -sS 192.168.0.1 -A hydra -l root -P pass_file ssh:192.168.0.22:22            pass_file 格式:  每行一个字符串,换行表示新的 可以来这里下载:https://github.com/danielmiessler/SecLists...
Todo Android反编译的几种方法
refer to:  https://liuzhichao.com/2016/jadx-decompiler.html 出于学习目的,或者研究目的,我们有时候要反编译安卓的apk.   具体的步骤我还没有试过. 大家看看上面的这个链接吧. 
Ckeditor会吃掉好多其他内容 Script Style 编辑器的安全性问题
之前写过  ckeditor 会默认吃掉inline style (http://siwei.me/blog/posts/ckeditor-inline-style-preserve-inline-style-in-ckeditor) 其实, ckeditor, 还会吃掉:  <script> ,  <style>,  以及...