懒羊羊安全
码龄1年
关注
提问 私信
  • 博客:14,533
    14,533
    总访问量
  • 14
    原创
  • 145,922
    排名
  • 105
    粉丝
  • 0
    铁粉
  • 学习成就

个人简介:一个愿意在安全圈中摸爬滚打的小菜鸟

IP属地以运营商信息为准,境内显示到省(区、市),境外显示到国家(地区)
IP 属地:内蒙古
  • 加入CSDN时间: 2023-08-23
博客简介:

Have_a_great_day的博客

查看详细资料
  • 原力等级
    成就
    当前等级
    3
    当前总分
    217
    当月
    5
个人成就
  • 获得177次点赞
  • 内容获得13次评论
  • 获得171次收藏
  • 代码片获得2,576次分享
创作历程
  • 1篇
    2024年
  • 13篇
    2023年
成就勋章
TA的专栏
  • 漏洞复现
    1篇
  • DVWA
    1篇
  • CTFHub
    7篇
  • Webgoat
    1篇
  • SQL_practice
    2篇
兴趣领域 设置
  • Java
    java
  • 网络空间安全
    网络安全
  • 非IT技术
    交友宠物
创作活动更多

如何做好一份技术文档?

无论你是技术大神还是初涉此领域的新手,都欢迎分享你的宝贵经验、独到见解与创新方法,为技术传播之路点亮明灯!

175人参与 去创作
  • 最近
  • 文章
  • 代码仓
  • 资源
  • 问答
  • 帖子
  • 视频
  • 课程
搜TA的内容
搜索 取消

Apache Log4j2-RCE-CVE-2021-44228

​ Apache Log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行。将构造的rmi和ldap按次放入 jndi: 后。ldap是协议,后面的地址为dns地址。使用JNDIExploit进行漏洞利用。​ log4j支持JNDI协议。访问如下url,查看dns回显。监听成功,拿到了管理员权限。可以看到发生了dns回显。进行base64编码。
原创
发布博客 2024.05.28 ·
372 阅读 ·
9 点赞 ·
0 评论 ·
2 收藏

XSSchallenge:1-13 过关练习

xsschallenges是一个专对于XSS漏洞练习的靶场,包含了各种绕过。适合小白进行练习,比如我自己。此链接是xsschallenge在线靶场:欢迎来到XSS挑战 (tesla-space.com)
原创
发布博客 2023.12.19 ·
1974 阅读 ·
36 点赞 ·
1 评论 ·
44 收藏

靶机渗透练习The Planets:Earth

该命令的目的是快速扫描目标网络中的主机,通过向主机发送 ping 消息来确认其可达性而不进行端口扫描。命令的含义是在系统的根目录下递归地查找具有 Setuid 权限的普通文件,并将结果打印出来。该命令的含义是以当前用户的身份,查询其在系统上被授予的 sudo 特权,并显示与该用户相关的 sudo 配置和权限信息。Crontab 是一种用于定时执行任务的工具,允许用户根据指定的时间和频率来自动执行脚本或命令。是使用 nmap 工具执行的命令,它用于进行主机发现,并对目标网络中的主机进行快速扫描。
原创
发布博客 2023.12.17 ·
2076 阅读 ·
55 点赞 ·
1 评论 ·
49 收藏

Dvwa-暴力破解

初次搭建Dvwa靶场,默认输入账号Username–【admin】、密码Password–【password】,登陆界面。添加狐狸代理。因为之前做过了,就把之前留的图片放到这里了。kali自带Firefox,按照下图步骤做添加狐狸代理搜索fox,选择如下图fox,点击进入没有安装的话,点击添加那么就添加成功,然后再点击添加,然后狐狸代理就弄好了于是在菜单栏中会显示,点击添加输入ip和端口后,点击保存。利用新工具,点击kali左上角搜索【burpsuit】打开,会弹出如下图,直接点击下一步。
原创
发布博客 2023.12.17 ·
2091 阅读 ·
41 点赞 ·
1 评论 ·
38 收藏

Webgoat - JWT tokens 部分攻略

点击支付,找到该数据包,发送到Repeater模块。
原创
发布博客 2023.09.16 ·
519 阅读 ·
1 点赞 ·
1 评论 ·
7 收藏

CTFHub - Refer注入

table_schema=database() :table_schema表示要筛选的表的模式(也就是数据库的名称),而database()是MySQL内置函数,返回当前连接的数据库名称。information_schema:是 information_schema 数据库中的一个表,用于存储关于数据库中所有表的信息,例:表名、所属数据库、表类型、创建时间等。group_concat(列或表达式):函数将指定的列或表达式的值按照默认的逗号分隔符连接起来,并返回一个合并的字符串作为结果。
原创
发布博客 2023.09.12 ·
834 阅读 ·
3 点赞 ·
0 评论 ·
3 收藏

CTFHub - UA注入

其中UA注入则是一种特定的SQL注入形式,它利用了应用程序中使用的UA来进行攻击。table_name='gnihfyuxxz' :选择表名为【gnihfyuxxz】的表的数据。table_schema=database() :选择当前连接的数据库(sqli)中的所有表。可以发现此处没有【flag】表,取而代之的是【gnihfyuxxz】,查看该表中的列名。此题为UA注入,所以我们利用bp进行抓包,找到数据包内的UA进行注入。【news】表一直都存在,所以第一想法先不考虑此表中的内容。
原创
发布博客 2023.09.11 ·
578 阅读 ·
2 点赞 ·
0 评论 ·
3 收藏

CTFHub - Cookie注入

因为在CTFHub中web内SQL板块使用的是同一个数据库,所以列数是相同的。table_name='gzuhxxtsjy' :选择表名为【gzuhxxtsjy】的表的数据。table_schema=database() :选择当前连接的数据库(sqli)中的所有表。可以发现此处没有【flag】表,取而代之的是【gzuhxxtsjy】,查看该表中的列名。Cookie注入则是一种特定的SQL注入形式,它利用了应用程序中使用的Cookie来进行攻击。【news】表一直都存在,所以第一想法先不考虑此表中的内容。
原创
发布博客 2023.09.10 ·
1013 阅读 ·
5 点赞 ·
1 评论 ·
1 收藏

CTFHub - 报错注入

欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
原创
发布博客 2023.09.09 ·
934 阅读 ·
6 点赞 ·
3 评论 ·
3 收藏

CTFHub - 字符型注入

欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
原创
发布博客 2023.09.08 ·
905 阅读 ·
8 点赞 ·
1 评论 ·
11 收藏

CTFHub - 整数型注入

欢迎各位师傅以kill -9 的威力对文章进行检查,Zeus会认真分析听取各位师傅的留言。
原创
发布博客 2023.09.07 ·
714 阅读 ·
4 点赞 ·
1 评论 ·
2 收藏

CTFHub-基础认证

CTFHub-基础认证之夺旗流程
原创
发布博客 2023.09.06 ·
838 阅读 ·
4 点赞 ·
1 评论 ·
3 收藏

cms靶场联合查询漏洞练习

1、联合查询:通过数据库的内容会回显到页面。利用union select 语句,该语句会同时执行两条select语句,来实现跨库,跨表查询。必要条件:1.两条select 语句查询结果具有相同的列数;2.对应的列数据类型一致。
原创
发布博客 2023.08.27 ·
656 阅读 ·
1 点赞 ·
1 评论 ·
3 收藏

万能用户名(密码)原理分析

后端源代码在【.\phpStudy\WWW\cms\admin\login.action.php】中。通过两个例子可知,万能式子是利用后端代码与数据库交互的漏洞,并结合运算符算法,使最后的结果输出为真。将第一条代码输入到用户名,密码随机输入,后端数据库代码将会如下所示。在登录界面,随机输入用户名和密码,后端数据库代码将会如下所示。.】--- 接收前端登录框密码的位置。】--- 接收前端登录框账号的位置。(数据库)相匹配的账号与密码。运算符优先级:and>or。第二十行 --- 搜索与。
原创
发布博客 2023.08.23 ·
713 阅读 ·
1 点赞 ·
1 评论 ·
0 收藏