网络安全

文件包含与下载读取漏洞实战假设你有一个网站，里面有个功能可以根据用户传入的文件名来加载文件（比如加载不同的模板页面）。如果这个功能写得不够严谨，黑客就能利用它来加载各种恶意文件，甚至直接执行代码。

内网渗透-横向移动-IPC配合计划任务（schtasks）和系统服务横向移动（sc）IPC( Internet ProcessConnection)共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用。

basic_pentesting_1靶场全攻略basic_pentesting_1 是 VulnHub 平台上的经典入门级渗透测试靶场，由 Josiah Pierce 开发。该靶场模拟了真实网络环境中的常见漏洞场景，非常适合刚接触渗透测试的新手练习完整的攻击链：从信息收集、漏洞利用到权限提升。

在 Yakit 浏览器中添加本地插件的两种方法有师傅问我，如何在Yakit中添加插件。我之前说没办法添加，因为yakit浏览器是免配置，而不是内置。并且yakit的参数中，–load-extension是不可配置、不可删除的。

渗透测试基础——一文详解CORS跨域劫持漏洞原理与利用本实验对比三类CORS配置，重点验证固定Allow-Origin:null搭配Credentials:true高危漏洞：data沙盒iframe可构造Origin为null的跨域请求，攻击者依托恶意站点携带Cookie窃取接口隐私数据。

Web渗透之SQL注入-文件读写-木马植入本文仅用于网络安全技术学习与授权测试交流。本文实验皆在靶场进行，任何未经授权使用文中技术的行为均与作者无关，请务必遵守法律法规，获得许可后方可进行渗透测试。

Web渗透之SQL注入-联合查询注入-注入点数据类型判断目录一、概念1.SQL注入的概念2.SQL注入的目的二、注入点的数据类型三、注释四、注入步骤(1) 方式一

藤原千花的败北

内网安全--基础知识我们常说渗透主要就是Web渗透和内网渗透，内网渗透是更高一级的知识。但随着知识广度的拓展，会发现很多东西其实都是一样的。

【PolarCTF】button打开页面，想要点击这个按钮，这个按钮会飞走chrome直接把JS禁止下看到这个按钮调用的是handleClick()函数

每日安全情报报告 · 2026-06-04数据采集时间：2026年6月4日 15:40 (UTC+8) 覆盖范围：近48小时新增高危漏洞、公开PoC、安全资讯风险级别标注：🔴 严重 (CVSS ≥ 9.0) ｜ 🟠 高危 (CVSS 7.0–8.9) ｜ 🟡 中危 (CVSS 4.0–6.9)

梦里捡到一只猫丶

简单的Payload加密方法之前学习MalDev Modules中的相关笔记，对其进行了简单的优化，如有错误望指正。这里讨论一种更安全的加密算法——高级加密标准 (AES)。它是一种对称密钥算法，这意味着加密和解密使用相同的密钥。AES 加密有多种类型，例如 AES128、AES192 和 AES256，它们的区别在于密钥长度。例如，AES128 使用 128 位密钥，而 AES256 使用 256 位密钥。

憧憬成为web高手

[0CTF 2016]piapiapia 脚本和总结先是信息收集得到www.zip 再是代码审计发现漏洞利用PHP反序列化–字符串逃逸利用file_get_contents() 函数调用读取config.php

03-【高校】多校区链路加解密架构🧠拓扑・全局洞察 | 🔐安全・纵深防御📡节点・边界管控 | ⚙️架构・持续优化目录一、整体拓扑说明

PortSwigger SQL注入LAB11欢迎来到PortSwigger SQL注入的LAB11，这道LAB在某些地方跟LAB10是非常相似的，那么我们现在开始吧:

Cisco ASA防火墙 NAT实验：源NAT+目的NAT（Trust/Untrust双区域，无DMZ）ASA规则：Trust(100)默认可以主动访问Untrust(0)，Untrust默认无法主动入Trust 实验两个目标： 1）源NAT（内网PC上网）：10.1.1.2访问202.1.1.2，源IP转换成202.1.1.1 2）目的NAT（外网访问内网发布服务）：外网访问202.1.1.1:80 → 映射到内网10.1.1.2:80

每日安全情报报告 · 2026-06-03数据采集时间：2026年6月3日 08:00 (UTC+8) 覆盖范围：近48小时新增高危漏洞、公开PoC、安全资讯风险级别标注：🔴 严重 (CVSS ≥ 9.0) ｜ 🟠 高危 (CVSS 7.0–8.9) ｜ ⚠️ 在野利用

好靶场_初学者训练营_OWASP_TOP10XSS、CSRF、命令执行太简单就没写就是执行sql命令flag{8e179390812e47bb917745f7ca5c10e0}

IP归属地查询API实战指南：快速获取IP地址定位、运营商与风险信息在互联网应用开发过程中，IP地址是识别用户来源的重要基础数据。无论是用户注册、访问统计、广告投放、风控系统还是网络安全分析，都离不开IP归属地查询能力。

基于CNN的异常流量监测系统的设计与实现随着网络攻击手段的日益复杂，传统基于签名的入侵检测技术难以有效应对未知威胁。网络流量异常检测通过建立正常行为基线、识别偏离基线的异常流量，在主动防御方面具有重要价值。本文设计并实现了一套基于卷积神经网络（Convolutional Neural Networks，简称CNN）的异常流量监测系统。系统将数据包元数据转化为文本表征，经TF-IDF向量化后输入一维CNN进行二分类，实现了从流量采集、模型训练、模型评估到在线/离线检测的完整流程。系统采用PyQt5构建图形界面，支持PCAP解析、实时回放、合成流量

WildSync：通过Wild API 使用恢复实现自动化 Fuzzing Harness 合成“ 在现代模糊测试（Fuzzing）中，测试套件的质量往往直接决定了漏洞挖掘的深度与效率。然而，在真实工业代码中，API 使用方式复杂、多样且高度依赖上下文，人工编写 Harness 成本高昂，自动生成方法又常常缺乏对真实使用场景的理解。