gaomei2009的专栏

原创 Nacos 认证绕过漏洞（CVE-2021-29441）

Nacos 是阿里巴巴推出来的一个新开源项目，是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集，可以快速实现动态服务发现、服务配置、服务元数据及流量管理。该漏洞发生在nacos在进行认证授权操作时，会判断请求的user-agent是否为”Nacos-Server”，如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。

原创 如何在kali Linux中使用sqlmap工具

post请求中参数为 uname=admin*&passwd=test&submit=Submit。第一步：先判定kali Linux中sqlmap能够正常使用。在kali linux中，使用sqlmap，如上图。先遍历出数据库类型和所有的表。第二步：抓取某个页面的登陆数据包，如下。指定数据库表名sql10051008。

原创 Memcached 未授权访问漏洞验证

Memcached 未授权访问漏洞验证

原创 任意文件上传漏洞

任意文件上传漏洞

原创 使用 Burpsuite 与 xray 进行联动

使用 Burpsuite 与 xray 进行联动

转载 Node.js 目录穿越漏洞（CVE-2017-14849）

Node.js 目录穿越漏洞

转载 解决open-vm-tools无法复制粘贴文件问题

解决open-vm-tools无法复制粘贴文件问题

原创 网络安全等级保护工作流程

一、等级保护工作依据 网络安全等级保护制度是一项国家级别制度。网络运营者依照《信息安全等级保护管理办法 公通字[2007]43号》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等相关法律法规要求对本单位的信息系统进行等级保护建设。二、等级保护工作中用到的主要标准（一）基础类1、《计算机信息系统安全保护等级划分准则》GB 17859-19992、《网络安全等级保护实施指南》GB/T 25058（二）系统定级环节3、《网络安全保护等级定...

转载 BurpSuite插件 -- FastjsonScan（反序列化检测）转载

你可以因为现任不好二分手，但千万不要认为别人更好，永远有人更好，眼下便是更好。。。----网易云热评一、插件介绍：一个简单的Fastjson反序列化检测burp插件，我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题，本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证，但是我太懒了，先不说burp搭配其他扫描器了，就连找到特定目录下的脚本我都觉得麻烦，所以，我决定一劳永逸地解决这个问题，于是去学习了一下burp插件的写法糊弄出了这个插件二、...

原创 XSS漏洞测试案例分享（原创）

直到今天才发现，只有写作才能让你把知识记牢。只有写作才能把日常工作的积累，不写记录，好记性不如烂笔头。以后每周会把自己工作中的渗透测试分享出来，对自己是一个积累的过程，对大家是一个共享。一、工具扫描 个人建议使用XRAY工具，可以非常快速发现XSS漏洞，大把节约了手工渗透的时间。二、手工测试在应用系统中，在有人机交互的地方输入相关JS语句，例如<img src=1 onerror=alert(1)><script>alert("XSS")&l...

转载 JSON Web Token

JSON Web Token0x01 JSON Web Token介绍Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以...

原创 安全扫描神器Nmap 7新版发布

JackFree2015-11-23+8共626241人围观 ，发现21个不明物体工具资讯在长达3.5年之后，Fyodor终于发布了著名开源网络检索工具的最新版本Nmap7。Nmap 7功能变化在长达3.5年之后，Fyodor终于发布了著名开源网络检索工具的最新版本Nmap7。Nmap是最受欢迎的开源网络映射器之一，据称这次发布的版本中主要的变化包括以下几点：...

转载 Wireshark 捕捉本地数据 --WinPcap切换NPcap

Wireshark默认匹配安装的是WinPcap,但是WinPcap有个缺点，不能抓取本地回环数据NPcap是在WinPcap的基础上进行优化开发的，可以抓取本地数据如果已安装WinPcap的请卸载，最好Wireshark一起卸载掉，重新安装，先安装NPcap，再安装Wireshark安装地址：NPcap Wireshark官方地址：https://nmap.org/npca...

转载 等保2.0 保护措施

转载 在vc下环境变量的设置

Error spawning cl.exe编译出错.......有人说是没有设置#include环境变量下面介绍在vc下如何设置环境变量：（1）Microsoft Visual Studio下面3个子文件夹 Common VC98 My Projects MFC 库文件都是在文件夹VC98下,VC++主程序在Common\MSDev98\Bin文件夹下,My Projects是

转载 百度电话面试

百度电话面试-2011.42011年04月02日 星期六 下午 3:1411 内存泄露怎么造成的？2 虚函数和纯虚函数的区别？3 堆 栈都是存储哪些变量？4 全局变量的用法5 static关键字的用法6 如何测试 百度大搜索？7 如何防范攻击？

原创 google map 认证指纹和API Key的获取

1.网址  code.google.com/android/maps-api-signup.html2.输入自己的MD5 指纹可以获取API Key.3.MD5指纹的获取方法如下：C:\Documents and Settings\gm\.android>keytool -list -alias androiddebugkey -keystore debug.keystore输

原创 google 提供的地图

1.根据地址查经纬度http://maps.googleapis.com/maps/api/geocode/json?address=USA&sensor=false   ，只要将你的address=SFO 改成你想要的地址即可。2.根据经纬度查地址http://maps.googleapis.com/maps/api/geocode/json?latlng=40.714224,-

转载 XP下JDK环境变量的设置

JDK环境变量的设置对学多学习java的初学者来说，是一个很麻烦的事情，下面我们就来介绍一下在XP下JDK的环境变量是怎样设置的。第一步:右击“我的电脑”，点击“属性”：第二步：选择“高级”选项卡，点击“环境变量”：第三步：在“系统变量”中，设置3项属性，JAVA_HOME,PATH,CLASSPATH(大小写无所谓),若已存在则点击“编辑”，不存在则点击“新建”：第四

原创 tinyos2.0安装指导

1) Java2jdk1.5.0(j2dsk)下载的网址:sccnc.onlinedown.net   安装完成后要设置环境变量,我安装的路径是C:\tinyos\j2sdk1.5.0,环境变量的设置如下:右键->我的电脑->高级->环境变量:在系统变量中添加变量:JAVA_HOME,变量值:c:\tinyos\j2sdk1.5.0变量CLASSPATH,变量值:.;C:\tinyos

原创 二叉树的广义表形式

<br />题目：假设二叉树采用二叉链表结构。设计并实现如下算法：输入某棵二叉树的广义表形式，建立该二叉树，并按层次遍历该二叉树。<br />⒈ 本演示程序根据提示输入二叉树的广义表形式例如：a(b(c),d(e(f, g),h(,i)))<br />⒉ 在演示过程序中，用户敲击键盘，即可观看演示结果。<br />⒊ 程序执行的命令包括：<br />（1）构造树的广义表 <br />（2）输出构造好的广义表 <br />（3）层次比遍历该二叉树 <br /><br /> <br /> <br /> <br

转载 TinyOS、NesC程序开发经验谈

TinyOS、NesC程序开发经验谈

原创 方向比努力重要，能力比知识重要，健康比成绩重要，生活比文凭重要，情商比智商重要

 清华大学校长给毕业生的一段话   （个人觉得下面有些话说的很有道理，希望您能从中悟出一些对自己有益的道理，对于我们工作的人有时也应该反省反省自己，这个世界确实让人很累，常常忙碌的自己都不知道东西南北，忙碌之中确实也该审视自己，我们需要什么？）     未来的世界是，方向比努力重要，能力比知识重要，健康比成绩重要，生活比文凭重要，情商比智商重要！      清华大学校长的这五个重要，从人力资源的角