Python学习过程中的一些心得体会
我学习python也有几年时间了。对我而言,python已经远不止是一门编程语言了,而是我的一位好朋友。所以每次写代码时,感觉是和好朋友聊天,而当看到别人的py代码时,就如碰到一位旧时好友,一见如故,总有一种莫名的亲切感。恰好最近也有许多人问我关于python的学习方法,以及如何学习爬虫的问题。所以我就借此总结一下我在Python学习过程中的心得体会。
PS:这篇文章很早就写了,偶然发现放草稿箱里一年多了,现在(2020.01)补充了后面的部分内容。
我学习python也有几年时间了。对我而言,python已经远不止是一门编程语言了,而是我的一位好朋友。所以每次写代码时,感觉是和好朋友聊天,而当看到别人的py代码时,就如碰到一位旧时好友,一见如故,总有一种莫名的亲切感。恰好最近也有许多人问我关于python的学习方法,以及如何学习爬虫的问题。所以我就借此总结一下我在Python学习过程中的心得体会。
PS:这篇文章很早就写了,偶然发现放草稿箱里一年多了,现在(2020.01)补充了后面的部分内容。
这段时间刚刚入门逆向,所谓工欲善其事必先利其器。所以必定需要先熟悉逆向中最常用的工具。而IDA pro则是被公认为最好的花钱可以买到的逆向工程利器。当然现在对我来说是肯定买不起的,所以我用的是6.8的破解版,先熟悉一下ida的基本操作。
PostgreSQL 是一款关系型数据库。其9.3到10版本中存在一个逻辑错误,导致超级用户在不知情的情况下触发普通用户创建的恶意代码,导致执行一些不可预期的操作。
阅读更多XXE全称是——XML External Entity,也就是XML外部实体注入攻击,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞危害还是挺大的,但我感觉现在不是很常见了,因为很多语言现在默认禁止加载外部实体了,从学习的角度了解XXE及其利用思路还是很有帮助的。
Apache CouchDB是一个开源数据库,专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同,导致语句执行产生差异性导致的。这个漏洞可以让任意用户创建管理员,属于垂直权限绕过漏洞。漏洞环境启动后,访问http://your-ip:5984/_utils/得到登录界面,Couchdb已成功启动。但我们不知道密码,无法登陆。
阅读更多这个爬虫本身是前几天帮朋友写的,是爬取虎牙上的各类游戏top 10 的主播。不过写完后,又把代码重写了一份,顺便把斗鱼上各类游戏主播的数据也抓取了一下。结果发现斗鱼的爬虫代码更具代表性,而且效率非常之高。所以便有了这篇文章。
很多人在windows渗透提权中,在拿到shell后,通常都会新建用户并提升为管理员开远程桌面连接。而远程桌面连接默认是不允许空密码连接的。但通常大多数云服务器都是默认设置了密码策略的,这就导致了我们无法为新建用户设置密码。
我以某云服务器为例,拿到shell后,在菜刀的虚拟终端中新建用户