1.Pythonç¬è«å¦ä½åï¼
2.log4j2远程代码执行漏洞本地复现
3.检查网页源码快捷键(网页看源码快捷键)
4.直播软件源码使用canvas实现一个小小的自动站并截图功能
Pythonç¬è«å¦ä½åï¼
Pythonçç¬è«åºå ¶å®å¾å¤ï¼å常è§çurllibï¼requestsï¼bs4ï¼lxmlçï¼åå§å ¥é¨ç¬è«çè¯ï¼å¯ä»¥å¦ä¹ ä¸ä¸requestsåbs4(BeautifulSoup)è¿2个åºï¼æ¯è¾ç®åï¼ä¹æå¦ä¹ ï¼requestsç¨äºè¯·æ±é¡µé¢ï¼BeautifulSoupç¨äºè§£æ页é¢ï¼ä¸é¢æ以è¿2个åºä¸ºåºç¡ï¼ç®åä»ç»ä¸ä¸Pythonå¦ä½ç¬åç½é¡µéææ°æ®åç½é¡µå¨ææ°æ®ï¼å®éªç¯å¢win+python3.6+pycharm5.0ï¼ä¸»è¦å 容å¦ä¸ï¼Pythonç¬åç½é¡µéææ°æ®
è¿ä¸ªå°±å¾ç®åï¼ç´æ¥æ ¹æ®ç½å请æ±é¡µé¢å°±è¡ï¼è¿é以ç¬åç³äºç¾ç§ä¸çå 容为ä¾ï¼
1.è¿éå设æ们è¦ç¬åçææ¬å 容å¦ä¸ï¼ä¸»è¦å æ¬æµç§°ãå 容ã好ç¬æ°åè¯è®ºæ°è¿4个å段ï¼
æå¼ç½é¡µæºç ï¼å¯¹åºç½é¡µç»æå¦ä¸ï¼å¾ç®åï¼ææå段å 容é½å¯ä»¥ç´æ¥æ¾å°ï¼
2.é对以ä¸ç½é¡µç»æï¼æ们就å¯ä»¥ç¼åç¸å ³ä»£ç æ¥ç¬åç½é¡µæ°æ®äºï¼å¾ç®åï¼å æ ¹æ®urlå°åï¼å©ç¨requests请æ±é¡µé¢ï¼ç¶ååå©ç¨BeautifulSoup解ææ°æ®ï¼æ ¹æ®æ ç¾åå±æ§å®ä½ï¼å°±è¡ï¼å¦ä¸ï¼
ç¨åºè¿è¡æªå¾å¦ä¸ï¼å·²ç»æåç¬åå°æ°æ®ï¼
Pythonç¬åç½é¡µå¨ææ°æ®
å¾å¤ç§æ åµä¸ï¼ç½é¡µæ°æ®é½æ¯å¨æå è½½çï¼ç´æ¥ç¬åç½é¡µæ¯æåä¸å°ä»»ä½æ°æ®çï¼è¿æ¶å°±éè¦æå åæï¼æ¾å°å¨æå è½½çæ°æ®ï¼ä¸è¬æ åµä¸å°±æ¯ä¸ä¸ªjsonæ件ï¼å½ç¶ï¼ä¹å¯è½æ¯å ¶ä»ç±»åçæ件ï¼åxmlçï¼ï¼ç¶å请æ±è§£æè¿ä¸ªjsonæ件ï¼å°±è½è·åå°æ们éè¦çæ°æ®ï¼è¿é以ç¬å人人贷ä¸é¢çæ£æ æ°æ®ä¸ºä¾ï¼
1.è¿éå设æ们ç¬åçæ°æ®å¦ä¸ï¼ä¸»è¦å æ¬å¹´å©çï¼å款æ é¢ï¼æéï¼éé¢ï¼è¿åº¦è¿5个å段ï¼
2.æFè°åºå¼åè å·¥å ·ï¼ä¾æ¬¡ç¹å»âNetworkâ->âXHRâï¼F5å·æ°é¡µé¢ï¼å°±å¯ä»¥æ¾å°å¨æå è½½çjsonæ件ï¼å ·ä½ä¿¡æ¯å¦ä¸ï¼
3.æ¥çï¼é对以ä¸æå åæï¼æ们就å¯ä»¥ç¼åç¸å ³ä»£ç æ¥ç¬åæ°æ®äºï¼åºæ¬æè·¯åä¸é¢çéæç½é¡µå·®ä¸å¤ï¼å å©ç¨requests请æ±jsonï¼ç¶ååå©ç¨pythonèªå¸¦çjsonå 解ææ°æ®å°±è¡ï¼å¦ä¸ï¼
ç¨åºè¿è¡æªå¾å¦ä¸ï¼å·²ç»æåè·åå°æ°æ®ï¼
è³æ¤ï¼æ们就å®æäºå©ç¨pythonæ¥ç¬åç½é¡µæ°æ®ãæ»çæ¥è¯´ï¼æ´ä¸ªè¿ç¨å¾ç®åï¼requestsåBeautifulSoup对äºåå¦è æ¥è¯´ï¼é常容æå¦ä¹ ï¼ä¹æææ¡ï¼å¯ä»¥å¦ä¹ 使ç¨ä¸ä¸ï¼åæçæåï¼å¯ä»¥å¦ä¹ ä¸ä¸scrapyç¬è«æ¡æ¶ï¼å¯ä»¥ææ¾æé«å¼åæçï¼é常ä¸éï¼å½ç¶ï¼ç½é¡µä¸è¦æ¯æå å¯ãéªè¯ç çï¼è¿ä¸ªå°±éè¦èªå·±å¥½å¥½ç¢ç£¨ï¼ç 究对çäºï¼ç½ä¸ä¹æç¸å ³æç¨åèµæï¼æå ´è¶£çè¯ï¼å¯ä»¥æä¸ä¸ï¼å¸æ以ä¸å享çå 容è½å¯¹ä½ ä¸ææ帮å©å§ï¼ä¹æ¬¢è¿å¤§å®¶è¯è®ºãçè¨ã
log4j2远程代码执行漏洞本地复现
本文仅供学习参考,请勿在真实环境进行网络攻击行为。访问
一、网站问网背景
Log4j 2 是并截 Java 中应用非常广泛的一个日志框架,在 年底,图源一个名为 CVE--(也称为 Log4Shell)的码自hashmap1.8源码详解严重漏洞被发现,该漏洞被CVSS评为分最高级别。动访网络攻击者利用这个漏洞不需要服务器密码就可以访问并操作服务器,截图攻击方式非常简单,源码技术门槛低,自动站并危害极大。访问受影响版本:Apache log4j2 2.0 - 2..1 下面先简单看一下攻击原理,网站问网然后直接开始操作。并截
二、图源攻击原理
假设现在有个网站,码自当用户登录时,正常请求路径如下:
如果应用服务端的登录接口中使用漏洞版本的log4j2打印请求参数的日志,就有可能被注入。如图所示:
三、冒险契约 源码复现步骤
以下代码已放在github仓库:log4j漏洞复现代码
1. jdk版本
作者使用jdk1.8.0_和1.8.0_复现成功,1.8.0_复现失败。
JDK 6u、7u、8u之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。
使用1.8.0_的情况下,将trustURLCodebase属性设置为true也没复现成功,原因暂未深究。
2. 模拟被攻击的应用服务器
写一个springboot项目,模拟被攻击的应用服务端登录接口,接口中打印了userName参数日志,启动此项目。端口为。访问地址为 .0.0.1:/login
3. 编写恶意代码
写一个在应用服务端执行的恶意代码,这里用删除一个服务器文件做演示,随机背景源码实际上可以使用反弹shell等做更多有害操作。编译这个类,生成class文件。
4. 启动http服务
启动一个http服务,使其可以访问上一步生成的.class文件,可以使用python启动一个http服务,cmd进入.class文件的目录,然后执行以下命令,使用 .0.0.1:/Exploit....能够访问说明一切正常。如果没有python环境也可以使用nginx等,只要能访问到Exploit.class即可。以下是使用python启动http服务的命令和截图:
5. 启动LADP服务
具体作用可以参考上面的原理图。这里直接使用github上的代码 GitHub - mbechler/marshalsec来运行ladp服务。如图所示:编译、运行启动。
运行ladp服务的命令:
上面命令中的 .0.0.1:/#...是第四步中的地址,根据自己的情况可自行修改,是iApp音乐源码ladp服务默认端口,无需修改。
6. 发起攻击请求
在C盘建一个1.txt文件,使用恶意构造的参数访问登录接口。
切换到ldap服务的控制台,可以看到日志,说明登录接口中的log4j已经访问ladp服务了。
切换到http控制台,可以看到请求日志,说明应用服务器已经请求http服务器加载Exploit.class。
在Exploit源码中debug,可以确认恶意代码已经执行,漏洞成功复现。
四、注意事项
检查网页源码快捷键(网页看源码快捷键)
1. 网页看源码快捷键
方法很多:快捷键ALT+F工具——宏——VB编辑器鼠标右键点sheet名——查看代码代码一般写在模块里,有时候也会写在表里可以复制
2. 打开网页源码的快捷键
工具/材料:电脑、浏览器。
第一步,打开电脑打开,google mock 源码浏览器进入。
第二步,进入后找到右上角单击进入。
第三步,找到更多工具-开发人员工具点击进入。
第四步,进入后即可查看源代码即可。
第五步,或者使用快捷键Ctrl+u即可 快速进入 。
3. 网页查看源代码快捷键
打开你要获取的源代码,右击鼠标会出现查看网页源代码(快捷键ctrl+u),全选复制(全选快捷键ctrl+a复制快捷键ctrl+c),在本地电脑上粘贴到(ctrl+v)新建一个文档以.html结尾,保存,点击查看即可。
4. 网页看源码快捷键设置
查看错误代码快捷键就是f调试键。
5. 怎么看网页的源代码快捷键
打开浏览器按键盘上的F.就可以查看了
6. 浏览器看源代码的快捷键
在浏览器里,有几个办法可以查看HTML网页源代码:
1、右键点击浏览器的空白处,选择查看源代码;
2、查看网页HTML源代码的快捷键为:Ctrl键+U键;
3、点击浏览器菜单栏的查看-->>选择查看网页源代码。
7. 显示网页源码快捷键
1右键点击浏览器的空白处,选择查看源代码;
2.
查看网页HTML源代码的快捷键为:Ctrl键+U键;
3.
点击浏览器菜单栏的查看-->>选择查看网页源代码。
8. 网页源码查看快捷键
第一种:打开一个网页后点击鼠标的 右键就会有"查看源文件"操作 鼠标右键--->查看源文件 即可弹出一个记事本,而记事本内容就是此网页的html代码。
可能会碰到一些网页鼠标右键无反应或提出提示框,那是因为做网页的加入了JS代码来禁止用户查看源文件代码或复制网页内容,但是这种方法也没用,只有你稍微懂得以下第二种方法即可查看此网页的源代码源文件。
第二种:通过浏览器状态栏或工具栏中的点击 “查看”
然后就用一项“查看源代码”,点击查看源代码即可查看此网页的源代码源文件。
在微软IE下 查看--->源文件 即可查看此网页代码在傲游浏览器下截图:查看别人网页的源代码可以为我们制作网页时候有帮助,以后将介绍查看源代码更多方法及怎么运用到别人的源代码文件。三、其它浏览器具体查看html网页源代码方法步骤 - TOP首先请打开您的网络浏览器,然后访问任何一个网页。完成上述步骤后,您可以通过以下针对不同网络浏览器的简单步骤快速查看html网页源代码。
1)、Firefox浏览器,请按以下步骤操作:
2)、谷歌浏览器,请按以下步骤操作:或直接谷歌浏览器中使用快捷键“Ctrl+U”即可查看被访网页源代码。对于这些的话,新手朋友可以参考附件里面的知识学习下
9. 查看网站源码快捷键
通过电脑命令行查看电脑代码:
1、打开电脑,进入电脑系统,在电脑开始菜单中的查询框中输入cmd。找到命令行运行程序。或者也可以通过电脑键盘组合键,快捷键组合为:windows + R,即可直接打开命令行运行程序了。
2、确定或者敲键盘回车,进入电脑命令行,在电脑命令行中,输入systeminfo命令,等待查询电脑配置信息。
3、在查询出来的电脑配置信息中,找到电脑系统类型,这就是当前电脑的代码了。
直播软件源码使用canvas实现一个小小的截图功能
直播软件源码使用canvas实现截图功能,需用hook管理状态,包含截图、取消截图及截取操作。
构建两个canvas,canvas A用于展示截图动效,如未被截取区域背景置灰,截取区域显示边框;canvas B用于展示完整,便于截取动作及生成截图数据。
在canvas A上监听mousedown、mousemove和mouseup事件,计算截图区域。通过这三个事件捕捉用户动作,生成动效及截取。
截图过程结束,立即生成截取数据。
关键难点在于计算截图区域、实现动效以及生成截图。
计算截图区域,通过mousedown事件记录起点坐标,mousemove实时监听坐标,mouseup记录终点坐标,计算出截取区域。
实现截图动效,包括置灰未被选取部分和添加截取部分边框。使用canvas的globalCompositeOperation属性,通过mousedown置灰,mouseup绘制截取效果。
生成和获得截取区域,在mouseup事件生成,通过canvas自带的toDataURL方法将截图转化为base格式。截图开始时,将原绘制到canvas B上,便于截取并生成。
完成直播软件源码中使用canvas实现的截图功能代码编写,后续文章将提供更多信息。关注以获取更多技术细节及更新。