- 博客(54)
- 收藏
- 关注
RSS订阅原创 owasp top 10
应用程序,API和所有地组件,运行环境和库;防范:按照加固手册加固,搭建最小平台,不包含任何不必要的功能、组件、文档和示例,临时文件要。防范:移除不使用的依赖、不需要地功能、组件、文件和文档,仅从官方渠道安全的获取组件,并使用。允许暴力破解的密码或者账号,允许默认的、弱的或总所周知的密码,使用明文、加密或弱散列密码,防范:在可能的情况下,实现多因素身份验证,检查弱口令,限制或逐渐延迟失败的登录尝试,使用服。防范:除了公有资源外,默认情况下拒绝访问,严格判断权限,记录失败的访问控制及时上报告警,
2023-10-21 22:52:29
569
原创 网络基础知识点
在 同一个局域网内,一台电脑需要请求信息会发送一个ARP请求,这个请求是广播的,这时在同一个广播域内所有设备都会收到ARP广播的包,如果在这时你欺骗那台发送ARP请求的电脑,告诉他你想要请求或者发送数据的mac地址是我,那么你就可以在他发送数据到目标地址的途中修改或者窃取数据了(ARP是谁后来相信谁ip和mac是暂时匹配的,屏蔽延时2s,在2s内回复)广播没有具体内容,泛洪有具体的内容,目的地址。udp是无连接的,不可靠的,数据是封装后一块一块发的,传输速率高,但准确性较低。
2023-10-21 22:50:36
584
1原创 ms17-010---永恒之蓝
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
2023-04-26 18:38:56
364
原创 Cisco复习
首先在三层创建vlan,然后将各个接口的状态改到相应的状态,交换机与交换机,路由器之间为trunk,然后划分vlan,划分vlan用access状态。serverIP地址和DHCP配置。三次密码设置都已此图为基准。
2023-04-10 23:16:16
198
原创 docker逃逸漏洞——CVE-2019-5736
Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作,来获取到宿主机的runc执行时的文件句柄,并修改掉runc的二进制文件,从而可以在宿主机上以root身份执行命令。docker runc容器逃逸漏洞(CVE-2019-5736)发生在runc模块(也叫容器运行时)。编译poc(需要安装golang-go和gccgo-go)修改后的poc(记得将sh修改为bash启动)假设管理员进入docker容器。就可以看shell就反弹成功了。
2023-02-15 23:46:19
691
原创 sni+tomcat漏洞复现
但是,由于当时技术限制,SSL初期的设计顺应经典的公钥基础设施 PKI(Public Key Infrastructure)设计,PKI 认为一个服务器只为一个域名提供服务,从而一个服务器上也就只能使用一个证书。这样客户端在发送请求的时候,利用DNS域名解析,只要向解析到的IP地址(服务器地址)发送请求,然后服务器将自身唯一的证书返回回来,交给客户端验证,验证通过,则继续进行后续通信。但是,一个服务器可能为上千个域名提供服务,不可能将所有证书都发送给客户端,让客户端一一验证,找到与请求域名对应的证书。
2023-02-12 23:03:05
842
原创 负载均衡上传webshell+apache换行解析漏洞
我们执行 hostname -i查看当前执行机器的 ip 时,可以看到一直在飘,因为我们用的是轮询的方式,还算能确定,一旦涉及了权重等其它指标,就让你好好体验一波什么叫飘乎不定。是的,这就是你出现一会儿正常,一会儿错误的原因。由于 antSword 上传文件时,采用的分片上传方式,把一个文件分成了多次HTTP请求发送给了目标,所以尴尬的事情来了,两台节点上,各一半,而且这一半到底是怎么组合的,取决于 LBS 算法。我们假定在真实的业务系统上,存在一个 RCE 漏洞,可以让我们获取 WebShell。
2023-02-09 22:44:54
460
原创 HTTP传输过程
HTTPS是在HTTP的基础上和ssl/tls证书结合起来的一种协议,保证了传输过程中的安全性,减少了被恶意劫持的可能.很好的解决了解决了http的三个缺点(被监听、被篡改、被伪装)对称加密和非对称加密。
2023-01-02 18:44:26
1481
原创 web基础练习
html:hyper text markup language 超文本标签语言 这里的标签也可以称为标记或者元素。Web前端一般由多种开发技术制作,是给用户展示的网页页面,即网站的前台部分。img标签用来引入图片到页面中 src是一个必须的属性,该属性表示图片的地址。他是一个描述性文本,它可以描述文字、表格、声音、视频、动画、链接等。它是目前网络上运用最广泛的技术之一,也是网页呈现主要基石。头部head:他提供的浏览器所需要的信息。主体部分body:他提供网页主要内容。用html5代码表示出下图样式。
2022-10-24 14:09:53
161
原创 RHCE-ansible
1)安装和配置ansible以及ansible控制节点server.example.com如下:2)创建一个名为/home/student/ansible/inventory的静态库存文件如下所示:2.1)node1 是dev主机组的成员2.2)node2是test主机组的成员2.3)node1和node2是prod主机组的成员2.4)node1是balancers主机组的一员2.5)prod组是webservers主机组的成员3).创建一个名为/home/student/ansible/an
2022-04-21 18:57:25
290
原创 RHCE学习笔记记录
环境配置:1.将主机网卡设置为卡机启用[root@localhost ~]# nmcli connection modify ens160 connection.autoconnect yes[root@localhost ~]# nmcli connection up ens1602.学习环境RHEL 8.x[root@localhost ~]# cat /etc/redhat-releaseRed Hat Enterprise Linux release 8.5 (Ootpa)3.系统时
2022-04-13 22:47:15
456
原创 RHCE-架设NFS服务器
架设一台NFS服务器,并按照以下要求配置1、开放/nfs/shared目录 ,供所有用户查询资料2、开放/nfs/upload目录 ,为192.168.100.0/24网段主机可以上传目录,并将所有用户及所属的组映射为nfs-upload,其UID和GID均为2103、将/home/tom 目录仅共享给192.168.100.136这台主机,并只有用户tom可以完全访问该目录注意: tom是- -一个用户目录,并且在客户端创建tom用户一定与服务端的tom用户的uid/gid保持一致。首先装包,
2022-04-01 17:50:43
187
原创 RedHat8-yum本地源的配置
mount /dev/sr0cd /etc/yum.repo.d/vim redhat.repo下面是相关的配置[BaseOs]name=BaseOsbaseurl=file:///mnt/BaseOSgpgcheck=0enable=1[AppStream]name=AppStreambaseurl=file:///mnt/AppStreamgpgcheck=0enable=1
2022-04-01 16:52:20
1547
原创 RedHat—web网站搭建
第一题1,安装httpd服务,配置yum源yum httpd -y配置如图2,开启httpd,关闭防火墙,配置ip地址3,编辑httpd下的文件[root@localhost yum.repos.d]# vim /etc/httpd/conf.d/vhost.conf注意这里的ip时虚拟机的ip,下面就是配置我们的目录,并且给目录中的文件添加内容[root@localhost ~]# mkdir /131 /134[root@localhost www]# echo "小胖,你
2022-03-23 19:01:06
1495
原创 三层架构实验
建立eth-trunk[sw1]int Eth-Trunk 0[sw1-Eth-Trunk0]int g0/0/2[sw1-GigabitEthernet0/0/2]eth-trunk 0[sw1-GigabitEthernet0/0/2]int g0/0/3[sw1-GigabitEthernet0/0/3]eth-trunk 0[sw2]int Eth-Trunk 0[sw2-Eth-Trunk0]int g0/0/2[sw2-GigabitEthernet0/0/2]eth-t.
2022-02-17 19:41:29
9129
原创 vlan实验
实验要求:1/pc1和pc3所在接口为access; pvlan vlan2;2/PC2/4/5/6处于同一网段;其中PC2可以访问PC4/5/6;但PC4可以访问PC5, 不能访问PC62 pc5不能访问PC63、PC1/3与PC2/4/5/6不在 - -个网段4、所有PC通过DHCP获取ip地址,且PC1/3可以正常访问SW1配置[sw1]vlan batch 2 to 5[sw1]int g0/0/2[sw1-GigabitEthernet0/0/2]port link-typ.
2022-02-13 18:20:50
583
原创 ipv6实验
1、两个局域网基于6to4tunnel可达2、R1可以访问R3的环回一、配置ipv4,先将公网打通再私网[r2]ipv6 [r2]int g0/0/0[r2-GigabitEthernet0/0/0]ip ad 23.1.1.1 24[r3]int g0/0/1[r3-GigabitEthernet0/0/1]ip add 23.1.1.2 24 [r3-GigabitEthernet0/0/1]int l0[r3-LoopBack0]ip add 3.3.3.3 24[r3-Lo.
2022-02-11 20:23:51
633
原创 mpls实验
1、R1与R5MPLS VPN2、R6与R7MPLS VPN3、R7可以访问R2/3/4的环回R1[r1]interface g0/0/0[r1-GigabitEthernet0/0/0]ip add 192.168.2.1 24[r1-GigabitEthernet0/0/0]int l0[r1-LoopBack0]ip add 192.168.1.1 24[r1]ip route-static 192.168.3.0 255.255.255.0 192.168.2.2[r1]ip ..
2022-02-10 20:55:08
1764
原创 BGP实验2
ip地址规划骨干链路:172.16.0.0 22172.16.4.0 22172.16.8.0 22172.16.12.022172.16.16.022172.16.20.0 22172.16.24.0 22172.16.28.022环回:172.16.64.0 19172.16.96.0 19172.16.128.0 19172.16.160.0 19172.16.192.0 19172.16.224.0 19起ospf协议:[r2]ospf 1 [r2-ospf-.
2022-01-22 19:23:15
87
原创 BGP实验
IP地址配置:r1:r2:r3:r4:r5:DHCP配置:[r1]dhcp enable Info: The operation may take a few seconds. Please wait for a moment.done.[r1]ip pool 1Info: It's successful to create an IP address pool.[r1-ip-pool-1]network 192.168.1.1 mask 24[r1-ip-pool-..
2022-01-20 20:49:30
1316
原创 重发布实验
1、两个协议间进行多点双向重发布2、R7的环回没有宣告在OSPF协议中,而是后期重发布进入的3、解决环路,所有路径选择最优,且存在备份IP地址r1:r2:r3:r4:r5:r6:r7:起路由协议:[r1]rip 1[r1-rip-1]ver 2[r1-rip-1]network 12.0.0.0[r1-rip-1]network 13.0.0.0[r1-rip-1]network 1.0.0.0[r2]rip 1[r2-rip-1]ver 2[r2-r.
2022-01-19 18:46:07
71
原创 MGRE实验(2)
1 R4为isp,其上只能费置IP地址;R4与其地所有直连设备间使用公有IP;2、R3----R5/6/7为MGRE环填。 R3为中心站点3、整个OSPF环境IP地址为172.16.0.0/164.所有设备均可访间R4的环回:5.重LSA的更新量,加快收敛,保障更斯安全6.全网可达IP地址规划172.16.0.0/19172.16.32.0/19172.16.64.0/19172.16.96.0/19172.16.128.0/19172.16.160.0/19172.16.192
2022-01-15 20:40:57
374
原创 MGRE实验
1、R6为ISP只能配置ip地址, R1-5的环回为私有网段2、R1/4/5为全连的MGRE结构, R1/2/3为星型的拓扑结构, R1为中心站点3、所有私有网段可以互相通讯,私有网段使用OSPF协议完成IP地址的配置:R1:R2:R3:R4:R5:R6:然后给公网走缺省,测试use test1;show tables;python连接数据库下面.
2022-01-09 20:14:24
589
原创 python函数继承,多态练习
1、定义一个矩形类,求周长和面积2、自定义类,计算java,sql,web三门课的总成绩和平均分3、创建一个学生类,存储学生的姓名,python、c、java成绩,然后定义一个列表存储5个学生,依次输入学生信息,输出所有所有学生的信息,成绩以等级显示(90以上为A;80-90为B,60-80为C;60以下为D)4、继承练习银行卡: 卡号、密码、姓名、余额方法:取款本行卡:方法:取款、转账其它行卡:方法:取款(加收2元手续费)实例化对象进行测试5、多态练习主人Master:请好友吃
2021-11-27 19:22:22
1760
原创 python有参函数练习
1、定义函数,完成两个数加减乘除的计算提示:def cal(num1,num2,opr):return result2、定义函数,计算矩形的周长和面积3、定义函数,从文件名中获取后缀,如e:/project/demo/homework.py获取的后缀.py4、定义函数,从请求地址中提取出域名如http://www.qqzone.com?qqid=270808123&pwd=111111,域名为www.qqzone.com5、定义函数,判断邮箱格式是否正确,校验规则:邮箱中必须包含@符号
2021-11-20 23:28:06
709
原创 python无参函数练习
定义函数,实现菜单的级联效果(从一级菜单可以跳转二级菜单,从二级菜单可以返回一级菜单)1、一级菜单欢迎进入银行系统****1、注册2、登录3、退出请选择:2、二级菜单1、查询余额2、存款3、取款请选择(输入0返回上一级):我把这道题分为了两个无参函数:这是第一个这是第二个下面就是引用:下面是运行结果:...
2021-11-20 20:52:23
680
原创 python元组,集合,字典,字符串练习
一、元组练习tup=(“nihao”,“wohao”,“dajiahao”)a. 计算元组长度并输出b.获取元组第2个元素并输出c.获取元素第2-3个元素并输出d.使用for循环遍历输出元组二、字典练习题:按照要求实现每一个功能dict = {“k1”:“v1”,“k2”:“v2”,“k3”:“v3”}1、请循环遍历出所有的key2、请循环遍历出所有的value3、请循环遍历出所有的key和value4、请在字典中增加一个键值对,“k4”:“v4”,输出添加后的字典5、请删除字典中
2021-11-13 23:28:57
2368
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人