Hackyh‘Blog

在Main界面中，会展示一些硬件方面的详细信息，比如biso版本、主板的名称或者是处理器的信息，还有一级缓存等等。另外，一些重要的设置，比如系统时间以及日期设置

1.先找到要抓接口的网站（最好是免码登录的）然后按下F12打开开发者模式选择Network2.输入手机号点击获取验证码，右侧会出现数据包3.选择send发送的数据包，然后右侧会出现详细数据包

很多的网站源码需要授权 是不是很烦恼?

1、当浏览器刷新或按F5的时候，会弹出如下提示：重新加载此网站？系统可能不会保存您所做的更改。

实现图片轮播的两种方法：

使用jquery实现轮播图思路如下 使用js实现轮播图思路如下

QQ强制添加好友 QQ强制聊天 强制加QQ好友

亲测有效

使用方法

漏洞大全 WEB各程序漏洞大全

详细列表如下包含部分exp

-----------------------------------------------------------------------------

08CMS 小说搜索型注入 - 脚本漏洞

08CMS官网XSS

akcms代码执行漏洞

akcms注入漏洞

BBSxp 2008 MoveThread.asp页面存在SQL注入漏洞

BBSxp 2008Sql Injection Vulnerability

网络空间已成为人类社会生存和发展的新空间。党和国家领导人高度重视网络空间安全问题，习近平总书记亲自担任中共中央网络安全和信息化委员会主任，就网络空间安全问题多次作出重要指示。网络空间安全问题进入到国家战略强势介入的全新阶段。当前我国网安人才需求缺口巨大，人才需求增速不断加快，对有实践经历、实战能力的网络空间安全工程技术人才有特殊需求。

1.同源策略是众多安全策略的一个，是Web层面上的策略。很重要。2.同源策略规定：不同域的client脚本在没明白授权的情况下。不能读写对方的资源。3.同域要求两个网站同协议，同域名，同port。4.当然，在同一个域内。client脚本能够随意读写同源内的资源，前提是这个资源本身是可读可写的。5.安全类似木桶原理，短的那块板决定了木桶实际能装多少水。一个Webserver，假设其上的站点没做好权限分离，没控制好信任关系，则总体安全性就由安全性最差的那个站点决定。6.一个安全性很好的站点有可能会由于建立了不可靠的信任关系。导致站点被黑。7.CSRF是跨站请求伪造。

以前看三好学生的文章《渗透技巧-从github下载文件的多种方法》，里边提到过用mshta下载文件的递进方法。无论他的hta代码用VBS还是powershell，都无法做到完美下载执行，会弹框提示此计算机上的安全设置禁止访问其它域的数据源，如下图：

来自海洋顶端思路lnk 文件是用于指向其他文件的一种快捷方式，方便使用者快速的调用。用快捷方式的木马来钓鱼的优势是，可以写入免杀的shell代码，双击即可执行，而且还可以修改图标后，能更好地诱骗客户执行！我在freebuf和市面上看到基本所有制做的恶意lnk文件，普遍是用到了powershell来下载执行shellcode，这种方式不是不可以，但是缺点一是存在了下载执行，有可能绕不过waf；二是对shellcode和powershell的免杀也存在了一定的困难。所以我们来重新改造一个轮子，思路就是让木马在本地执行，让木马和lnk文件放在一起。

尽量能够获取webshell，如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本；或者利用漏洞（系统漏洞，服务器漏洞，第三方软件漏洞，数据库漏洞）来获取shell。

从网络上下载了一个zip文件，最后却发现它是用密码保护的，或者自己用密码加密了一个很重要zip文件，但是一段时间后忘记了密码，无法打开。这个时候，我们就可能就需要对这个加密文件进行破解了

给博客网站添加 百度收录量 的方法  最好是用缓存,因为装逼...(因为采用 jQuery 异步加载不会造成网站速度问题)

JS特效 简易的JavaScript文字跟随鼠标移动特效

网页复制自动添加链接版权 使用JS让复制站点文章时自动添加版权