- 博客(153)
- 资源 (9)
- 收藏
- 关注
RSS订阅转载 Android环境检测与绕过对抗
近几年,各个厂商安全意识提高了~这本来是件好事....可是吧...总感觉方向错了....一直孜孜不倦的加强客户端的代码保护、环境检测....PC 端各种客户端加壳、虚拟机检测等保护早就证明了一个道理:客户端安全永远比不上服务端安全。提示此处的环境以 Lsposed(Zygisk 版)+Magisk(Zygisk 模式)为例。
2023-06-03 07:00:05
3430
原创 安全常用加解密及编码转换工具
对称加解密AES 3DES SM4 DES RC4 ChaCha20非对称加解密RSA 支持指定长度密钥对生成SM2 支持标准模式C1C3C2和BC模式C1C2C3散列哈希算法(支持加盐)MD5 SHA1SHA256 SHA384 SHA512HmacMD5 HmacSHA1HmacSHA256 HmacSHA384 HmacSHA512 SM3 SM4CMAC编码转换String Base64 Hex Url Unicode Byte 一键互转
2023-05-26 14:06:29
978
原创 CMD进度条代码
方法一:@echo offecho.echo.echo.set /a a=0 :a set /a a+=1 for %%a in (▏ ▎ ▍ ▌ ▋ ▊ ▉) do (set /p=%%a<nul &ping -n 1 127.1>nul &ping -n 1 127.1>nul &ping -n 1 127.1>nul &set /p= <nul) set /p=█<nul if %a% lss 8 .
2022-04-22 17:07:34
1214
原创 python常用的库文件
Requests.Kenneth Reitz写的最富盛名的http库。每个Python程序员都应该有它。Scrapy.如果你从事爬虫相关的工作,那么这个库也是必不可少的。用过它之后你就不会再想用别的同类库了。wxPython.Python的一个GUI(图形用户界面)工具。我主要用它替代tkinter。你一定会爱上它的。Pillow.它是PIL(Python图形库)的一个友好分支。对于用户比PIL更加友好,对于任何在图形领域工作的人是必备的库。SQLAlchemy.一个数据库的库。对它
2022-04-21 16:59:17
555
原创 使用C语言代替cmd命令、cmd命令大全
【前言】cmd常用命令:calc:启动计算器notepad:打开记事本netstat -a:查看所有的端口tasklist:查看所有的进程d: 盘符切换 dir(directory) 列出当前目录下的文件以及文件夹 md (make directory) 创建目录 rd (remove directory) 删除目录(带内容的文件或者文件夹不能直接删除,必须先删除里面,再删除外面)。如果要删除非空目录,可以使用命令:rd /s xxxd...
2022-04-21 16:51:18
4236
原创 实现Android导入系统证书并用Burp抓包
一般来说在Android7以上的系统版本,系统会严格的区分系统证书和用户证书,而一些安全性较好的apk会禁止在Android7以下的系统版本运行,这就对安全测试的同学们产生了一定障碍。本文会介绍在Android7以上导入系统证书实现抓包...
2022-04-21 16:03:40
6093
原创 hook JS 简单入门 python脚本
首先搭框架+hook普通方法import frida,sys# 写js代码hook java代码java.perform(function(){ var utils = Java.use('要hook的类名'); var class = Java.use('java.lang.Class') # hook 普通方法 utils.类的方法名.implementation = funtion( 方法的参数a,b ){ console.lo
2021-12-24 15:46:50
1107
原创 WireShark过滤及使用方法
Wireshark 基本语法,基本使用方法,及包过滤规则:1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.srceq192.168.1.107orip.dsteq192.168.1.107或者ip.addreq192.168.1.107//都能显示来源IP和目标IPLinux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。ip.src eq 10.175.168.182截图示例:提示: 在Filter编辑框中...
2021-11-26 15:19:47
2652
原创 使用r0capture通用安卓抓包脚本
1.首先安装python环境下载python环境安装即可安装pip工具 运行下面命令安装依赖库pip install win_inet_ptonpip install hexdump2.安装Frida工具install fridainstall frida-tools2.1查看frida版本frida --version2.2需要下载ABD工具 输入adb shell 进入终端如果是手机需要插上数据线,打开USB调试,打开root如果是模拟器则需要开启root
2021-11-19 10:37:38
6644
4
原创 不一样的xss payload
不同的情况不一样的xss payload:弹窗<script>alert(1)</script><script>prompt(2)</script><script>confirm(3)</script><script>console.log(3)</script><script>document.write(1)</script>当不能弹窗的时候,可以用下面的pay
2021-10-09 13:48:11
12913
原创 Windows基本信息收集
查看当前电脑网卡的ip信息、DNS信息、DHCP服务器信息等ipconfig /all显示 DNS 解析程序缓存的内容ipconfig /displaydns查看网络连接情况netstat /bnao查看网络连接路由表netstat -r查看局网内计算机net viewnet use #查看映射net view /domainnet user /domainnet user %usename% /domain...
2021-09-17 14:42:09
2140
2
原创 Linux基本信息收集
cat /etc/resolv.conf cat /etc/passwd cat /etc/shadow whoamiwho -aiptables -L-nifconfig -anetstat -rn
2021-09-17 10:47:17
644
原创 kali2021安装GVM(openVAS)
openVAS从10版本后改名GVM,这里用的kali系统也是2020年的最新系统安装之前将kali的源换成国内的源,像阿里源或中科大源。位置/etc/apt/sources.list。命令:vim /etc/apt/sources.list#阿里云deb http://mirrors.aliyun.com/kali kali-rolling main non-free contribdeb-src http://mirrors.aliyun.com/kali kali-rol.
2021-08-30 10:49:43
2799
5
原创 【安全测试工具】Drozer介绍及使用
一、前言: 项目测试间隙调研了下移动APP安全测试,发现不少文档都提到了Drozer这款安全测试工具,遂拿来学习并投入项目中实践下。二、Drozer介绍: Drozer是一款针对Android的安全测试框架,分为安装在PC端的控制台、安装在终端上的代理APP两部分。可以利用APP的IPC通信,动态的发现被测试APP的安全风险。三、安装1、官方下载地址https://labs.mwrinfosecurity.com/tools/drozer/2、安装比较...
2021-08-18 11:05:32
1329
原创 arping 命令解析
一、介绍ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在同一以太网中,通过地址解析协议,源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。arping,用来向局域网内的其它主机发送ARP请求的指令,它可以用来测试局域网内的某个IP是否已被使用。二、命令格式如下:arping [-AbDfhqUV] [-c count] [-w deadline] [-s source] -I interfac.
2021-08-11 10:11:35
340
原创 使用python的openpyxl模块处理Excel
#导入openpyxlfrom openpyxl import load_workbook#创建文件路径path=r"E:\"filename=“test.xlsx”filepath=path+filename#打开excelxl=load_workbook(filepath)#获取所有sheet页名字xl_sheet_names=xl.get_sheet_names()#打印所有sheet页名称print(xl_she.
2021-08-07 11:51:57
229
原创 Python pip 安装与使用
pip 是 Python 包管理工具,该工具提供了对Python 包的查找、下载、安装、卸载的功能。目前如果你在 python.org 下载最新版本的安装包,则是已经自带了该工具。Python 2.7.9 + 或 Python 3.4+ 以上版本都自带 pip 工具。pip 官网:https://pypi.org/project/pip/你可以通过以下命令来判断是否已安装:pip --version # Python2.x 版本命令pip3 --version # Py
2021-08-02 18:41:28
235
原创 JEB 动态调试 Apk
以调试方式启动apkadb shell am start –D –n com.bangcle.getflag/com.bangcle.getflag.MainActivity端口转发 pid=2288(根据实际来)adb forward tcp:8700 jdwp:2288之后就愉快的调试吧F6 进入单步调试
2021-07-30 16:30:03
393
1
原创 shell ip及端口扫描脚本
看了个kali教程视频,里面涉及一点自写脚本的内容下面是ip地址扫描,判断主机是否在线的shell#!/bin/bashecho 'inputip:' #提示输入要扫描的ip地址read inputip #获取终端输入给变量inputiptip=$inputip #将获取到的inputip 给变量 tip 这里是多余的赋值 只是不想修改下面的代码而已echo -n '1: ' #输出行号 #使用ping方法查看 注意等好后面的是 反单引号 结尾处也是 反单引号res=
2021-07-29 15:08:54
1385
原创 自建NAS+内网穿透:在公网访问你家的 NAS
以下内容来自互联网,整理记录自建NAS和内网穿透的参考,已备后续使用开始:家里闲置一台电脑,受限于某度盘,下载速度龟速,于是想自己搭建一个NAS系统,网上看了一圈,最后确定用openmediavault,下载地址:传送下载具体的安装方法,跟装系统差不多,自己研究吧;系统安装好后,看看功能还是挺全的:因为目的是在外网自由访问,所以别着急上传文件,先搞定外网访问再说。所以,我们需要内网穿透,方法主要有两个:动态域名和反向代理,对比如下:动态域名最早期的方法,要求家中拨..
2021-07-26 14:45:52
12747
1
原创 objection 使用方法
安装//前提安装Python fridapip install objection启动://启动objection -g com.android.settings explore//com.android.settings 替换为自己的软件包常用方法://查看环境env//列举so文件memory list modules//列举so文件导出方法memory list exports libA3AEECD8.so//将结果写入文件中memory list .
2021-07-16 11:18:33
2383
原创 正则表达式(电话号码 IP)
正则表达式验证手机号码String phone = "1?????????";String regexString = "1[3-9][0-9]{9}";//正则表达式boolean bo = phone.matches(regexString);正则表达式验证IP地址IPv4地址由4组数字组成,每组数字之间以.分隔,每组数字的取值范围是0~255.IPv4必须满足以下四条规则:任何一个1位或者两位数字,即0~99; 任何一个以1开头的3位数字,即100~199; 任何一个以2
2021-03-15 14:42:00
4819
原创 Java正则表达式
正则表达式(Regular Expression)又称正规表示法、常规表示法,在代码中常简写为 regex、regexp 或 RE,它是计算机科学的一个概念。正则表达式是一个强大的字符串处理工具,可以对字符串进行查找、提取、分割、替换等操作,是一种可以用于模式匹配和替换的规范。一个正则表达式就是由普通的字符(如字符 a~z)以及特殊字符(元字符)组成的文字模式,它用以描述在查找文字主体时待匹配的一个或多个字符串。String 类里也提供了如下几个特殊的方法。boolean matches(Stri
2021-03-09 16:18:43
113
原创 Java星座查询(巧用选择结构和三目运算)
刚开始学习java,遇到一个比较好的思路,拿出来分享一下:输入4位数日期,查询该日期对应的星座:/*** 白羊:0321~0420 天秤:0924~1023* 金牛:0421~0521 天蝎:1024~1122* 双子:0522~0621 射手:1123~1221* 巨蟹:0622~0722 摩羯:1222~0120* 狮子:0723~0823 水瓶:0121~0219* 处女:0824~0923
2021-03-02 16:42:40
865
原创 运算符优先级 c = a++- --b*++a/b-- >>2%a--;
运算符优先级表1 运算符的优先级 优先级 运算符 结合性 1 ()、[]、{} 从左向右 2 !、+、-、~、++、-- 从右向左 3 *、/、% 从左向右 4 +、- 从左向右 5 «、»、>>> 从左向右 6 <、<=、>、>=、instanceof 从左向右 7 ==、!= 从左向右 8 & 从左向右 9
2021-03-02 09:17:09
2097
1
原创 xray 使用说明
xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有 xray 漏洞扫描器和 Radium 爬虫工具,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。xray 简介 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级..
2021-01-27 08:49:32
12371
原创 kali 国内更新源
#更新源 编辑vi /etc/apt/sources.list(增加中科大的源或者阿里云)#获取数字签名wget archive kali.org/archive-key.asc#安装数字签名apt-key add archive-key.asc#中科大#deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib#deb-src http://mirrors.ustc.edu.c
2021-01-16 19:56:23
1905
1
原创 Python 常用的库文件 和 国内镜像源
目录Python 常用的库文件Python 国内镜像源国内源:#清华:阿里云:中国科技大学:华中理工大学:山东理工大学:豆瓣:临时使用:#永久修改,一劳永逸:#Linux下,修改windows下Python 常用的库文件RequestsKenneth Reitz写的最富盛名的http库。每个Python程序员都应该有它。Scrapy如果你从事爬虫相关的工作,那么这个库也是必不可少的。用过它之后你就不会再想用别的同类库了。...
2021-01-16 17:25:36
2126
1
原创 adb 命令大全(Android Debug Bridge version 1.0.31)
Android Debug Bridge version 1.0.31-d - directs command to the only connected USB device returns an error if more than one USB device is present.-e - directs comma...
2021-01-11 14:13:27
1354
原创 网络安全--风险评估
风险评估what is对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁利用的可能性,和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性锁产生的实际负面影响,并以此识别信息系统的安全风险过程信息安全风险评估分析确定风险的过程信息安全建设的起点和基础信息安全建设和管理的科学方法实际上是在倡导一种适度安全信息化的重要经验why to do充分反应当前的安全现状提供信息安全防御机制的建议很好的同等
2020-12-13 09:23:45
2671
原创 安全巡检
安全巡检目的识别信息系统存在的安全脆弱性、分析信息系统存在的风险,并及时采取措施予以整改,保障信息系统安全稳定运行巡检收益1、通过专业、严谨的安全巡检服务,确保客户IT环境的安全性和稳定性2、大大降低客户的运维风险和运维成本3、专业的安全技术和专业的人员及时、全面的掌握客户IT环境的安全现状和面临的风险,并提出改进建议,降低风险4、客户从反锁的IT运维中解脱出来,更加的关注核心业务,提高工作效率5、是客户了解是否存在事别越权使用、越权滥用,及时发现敏感数据是否泄漏6、极大的保护客户网络设备
2020-12-13 09:22:50
894
原创 开源免费cms---十大主流建站的CMS系统介绍
开源免费cms建站系统哪个好(十大主流建站的CMS系统介绍)动易 CMS,博客系统drupal 不适合中国的企业网站建设。joomla!drupal适合程序员级别的人使用,方便做二次开发,可以做出任何你想要的网站(当然这网站最好是面向国外用户的),中文则难说(主要原因还是在于模板,很难适合中国式的风格)。 joomla!适合国际化的、中大型企业使用,joomla!是很稳定的,这是我使用几年的实际体会。但是joomla!的模板制作比较复杂,需要高手多方面配合,因此做一般..
2020-12-13 09:22:03
26126
2
原创 网络安全---等级保护
网络安全等级保护what is等保,即网络安全等级保护标准2007年我国信息安全等级保护制度正式实施等保标准具有很强的实用性它是监管部门合规执法检查的依据,是我国诸多网络信息安全标准制度的重要参考体系架构,是行业主管部门对于下级部门网络安全建设的指引标准的重要依据和参考体系等保制度是网络安全从业者开展网络安全工作的重要要知道体系和制度why做了,出事,是天灾(没有绝对的安全)不做,出事,是人祸(谁主管谁负责,谁运营谁负责,)责任更清晰完成等保测评,意味着公安机关认可你的安全现
2020-12-12 08:40:44
414
2
原创 Linux入侵排查
Linux入侵排查Linux入侵排查思路1、账号安全基本使用:1、用户信息文件/etc/passwdroot❌0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell注意:无密码只允许本机登陆,远程不允许登陆2、影子文件/etc/shadowroot:666oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5
2020-12-12 08:36:40
466
原创 网络安全--Windows入侵排查
Windows入侵排查Windows入侵排查思路1、检查系统账号安全1、查看服务器是否有弱口令,远程管理端口是否对公网开放检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破2、查看服务器是狗存在可疑、新增账号检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)里的新增账户,立即禁用或者删除3、查看服务器是否存在隐藏账号、克隆账号检查方法:1、打开注册表,查看管理员对应键值2、使用D盾Web查杀攻击
2020-12-12 08:35:51
823
1
原创 应急响应处理
应急响应What is应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件web入侵:网页挂马、主页篡改、webshell系统
2020-12-12 08:34:56
407
常用加解密及编码转换工具
2023-05-26
字符串大小写转换.exe
2020-11-22
16进制指令求和校验码计算器
2020-08-05
sscom V5.13.1版本 串口调试工具,简体中文和英文版,win10亲测可用.rar
2020-07-02
Win32DiaLogApplication-RedMaple.zip
2019-09-19
简单计算器.rar
2019-08-30
DebugView.rar
2019-08-14
抽奖小程序(含名单工具+自动生成中奖名单).zip
2019-07-30
抽奖程序(含名单工具).zip
2019-07-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人