- 博客(35)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 AppWeb 身份验证绕过漏洞 (CVE-2018-8715)
当前漏洞环境部署在vulhub,当前验证环境为vulhub靶场(所有实验均为虚拟环境)4、只保留用户名参数,发包(需取消用户名上的引号,不然发包之后无回显)2、访问AppWeb控制台:http://your-ip:8080。5、将session添加过来,继续发包。3、抓包,使用用户名、密码admin。实验环境:攻击机----kali。使用用户名、密码admin访问。1、进入靶场,启动环境。靶机:centos7。
2023-04-28 14:52:05
1308
原创 Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)复现
4、进入ActiveMQ :http://your-ip:8161/admin/test/systemProperties.jsp(攻击机)7、然后将上传的webshell移到/opt/activemq/webapps/api/1.jsp。10、使用命令执行http://X.X.X.X:8161/api/1.jsp?1、进入环境cd activemq/CVE-2016-3088/(靶机)上传webshell到/fileserver/1.txt(攻击机)6、查看/fileserver/1.txt。
2023-04-27 11:15:54
783
原创 ActiveMQ 反序列化漏洞 (CVE-2015-5254)漏洞复现
5、下载jmet-0.1.0-all.jar(时间较长):https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar(攻击机)6、执行java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y “touch /tmp/sucess” -Yp ROME 你的IP 61616(攻击机)实验环境:攻击机----kali。3、启动环境(靶机)
2023-04-26 17:45:28
531
原创 **centos下vulhub靶场详细安装**
2、安装python:yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gcc make。7、拉取靶场:git clone https://gitee.com/happyaunt/vulhub.git。1、安装docker:curl -s https://get.docker.com/ | sh。8、查看靶场,在/docker/vulhub/目录下。
2023-04-26 14:48:00
221
原创 python基础(4)
#流程控制语句:python代码在执行的过程中自上向下顺序执行,通过流程控制语句,可以改变程序的执行顺序#流程控制语句分类:条件判断语句、循环语句#条件判断语句(if语句):条件表达式为true·,执行语句,false则不执行#语法:if 条件表达式 : 语句a = 123if a>121 : print(‘锄禾日当午’)#锄禾日当午else :print(‘举头望明月’)if...
2020-03-29 16:35:42
679
原创 python基础练习
#获取一个用户输入的整数,然后通过程序显示这个数是奇数还是偶数zhengshu = int(input(‘请输入数字:’))if zhengshu % 2==0 :print(‘这是一个偶数’)else:print(‘这是一个奇数’)#编写一个程序,检查是否为闰年year = int(input(‘输入年份:’))if year % 400 == 0 or year % 4 == ...
2020-03-29 16:34:12
821
原创 python基础(3)
#类型转换:不是改变对象本身的类型·,而是将值转换为新的对象a=Trueb=123#类型·转换四个函数:int()#int()可以用来将其他的对象转换为整形a = int(a)a=‘123’a = int(a)#a= 123 a的类型 <class ‘int’>#float()和int()的方法基本一样a=‘123’a=float(a)#a= 123.0 a的类型...
2020-03-26 16:36:39
529
原创 python(2)
#格式化字符串a=‘hello’#字符串之间可以进行加法运算,会自动将两个字符串拼接为一个·a=‘asd’+‘sad’print(a)#字符串不能拼接其他类型print(‘a=’+a)#在创建字符串时,可以在字符串中制定占位符#%s在字符串中表示任意字符c=‘heoosda %s’%‘dfhs’print(‘c=%s’’%a’)#格式化字符串,可以通过在字符串前面添加一个F来创...
2020-03-23 15:16:05
222
原创 python基础(1)
#字面量和变量#字面量就是一个个的数值,比如:1,2,3,‘hello’#字面量所表示的意思就是它的字面的值。在程序中可以直接使用#变量(vairable)可以保存字面量,并且变量中的字面量是不定的。变量本省没有任何意思#它会根据不同的字面量表示不同的意思a = 12print(a)a = 123print(a)#变量和·标识符#python中使用变量,不需要声明,直接为变量赋...
2020-03-22 19:09:46
161
原创 云主机端口扫描
1. 掌握Kali Linux中的Sqlmap各类功能及参数配置使用Sqlmap对目标站点进行渗透攻击任务二:使用Kali Linux环境中的Sqlmap实现对目标靶机网站的注入猜解打开测试站点DVWA的主页面,并设置其安全级别为low1. 单击左边的SQL Injection,在“User ID”文本框中随意输入一串数字,比如123,同时开启Burp Suite的数据包捕获功能1. ...
2019-12-27 10:56:44
158
原创 MapReduce编程实例
实验目的搭建MapReduce编程模型配置Eclipse和MavenHadoop集群与启动顺序MapReduce的WordCount应用书上代码练习学习编写一个MapReduce程序实验要求学会使用Maven创建一个工程项目配置好运行环境与运行条件结合上课课件自己输入WordCount程序运行并得出结果在Hadoop集群中提取运行结果五台独立的虚拟机主机之间有有效的网...
2019-12-27 10:37:10
691
原创 无中继的DHCP配置
一:知识准备(1)掌握了DHCP的基本原理和作用,及其dhcp的网络架构二:实验目的(1)掌握路由器DHCP的基本配置方法和结果验证三:实验内容(1)完成路由器DHCP的基本配置和结果验证四:实验规划端口 IPGei-2/1 10.3.1.1/24 地址池名称 地址IP...
2019-12-02 08:53:14
408
原创 微服务架构基础之springcloud
一.工程结构总览二.使用Eureka注册服务搭建maven父工程2. 搭建服务端工程(1) 添加依赖。 在pom.xml文件中添加Eureka server的依赖(1) 编写配置文件。在配置文件中增加端口等配置信息,(1) 启动应用,查看信息3. 搭建客户端工程添加依赖。在pom.xml文件中添加Eureka依赖,编写配置文件(1) 修改客户端Java代码,在引导类上添加注解@En...
2019-11-30 09:39:11
101
原创 RIP水平分割的实验报告
一、知识准备(1)掌握了RIP动态路由的定义和特征。(2)掌握了RIP路由环路的危害和解决技术。(3)掌握了水平分割的工作原理。一、实验目的掌握路由器中RIP动态路由的水平分割功能的配置方法和结果验证,并且通过结果更好地理解水平分割的作用和原理。二、实验内容完成思科路由器RIP动态路由的水平分割功能的配置和结果验证。三、实验过程1、业务配置流程图2、实验配置过程(1)R1的...
2019-11-29 10:43:04
1220
原创 Docker的使用
一:docker的入门程序(1):编写Dockerfile文件。创建一个空的Docker工作目录dockerspace,进入该目录,并使用sudo vi Dockerfile指令新建并打开一个Dockerfile文件,然后向文件中编辑内容(2):编写外部文件。在当前目录(dockerspace)下创建requirements.txt和app.py,编辑后如下文件(2)创建镜像。在Do...
2019-11-28 10:38:31
148
原创 OSPF配置实特殊区域STUB
一、知识准备掌握了OSPF协议的工作原理及其LSA的类型划分掌握了OSPF特殊区域的概念、分类和特点二、实验目的 掌握路由器中OSPF特殊区域STUB区域的基本配置方法和结果验证。三、实验内容完成中兴1800路由器的OSPF特殊区域STUB域的基本配置和结果验证。四、实验过程。实验配置过程(1)路由器R1的配置过程路由器R2的配置过程路由器R3的配置四、实验查...
2019-11-27 09:42:55
341
原创 云环境web漏洞扫描
一:云环境web漏洞扫描 利用WVS进行漏洞扫描了解web漏洞扫描原理掌握Acunetix WVS漏洞扫描器的基本使用方法利用Acunetix WVS扫描器完成对测试网站的基本扫描测试,并能通过扫描结果评估网站的安全性二:云端web漏洞手工检测分析任务一: 了解常见web漏洞及其攻击原理 了解Burp Suite的基本功能以及Proxy功能 掌握Burp Suite软件中...
2019-11-27 09:39:09
1012
原创 Linux命令(centos)
口令复杂度:cat /etc/login.defs登录失败次数:more /etc/pam.d/system-auth查询ssh安装情况:rpm -qa |grep ssh查询sbhd进程是否开启:ps -ef |grep sbhd查询22号端口是否开启:ps -ef |grep 22哪些可以登陆那些不可以:cat /etc/pam.d/sshdSsh客户端配置文件:cat /etc/...
2019-11-18 17:46:31
123
原创 移动智能与终端安全防护
1:移动智能终端:具有独立操作系统可安装应用程序、使用无线局域网或移动通信网访问因特网的设备;2:移动智能终端的安全形势(1) 操作系统的敏感权限滥用;(2) 应用软件难朔源;(3) 系统漏洞;(4) 系统后门;3:安全威胁(1) 伪基站攻击:冒充基站,向周围手机发送垃圾短信;(2) 二维码扫描:手机病毒、木马程序;(3) 移动智能终端遗失;(4) 手机扣费软件;4:移动智能...
2019-11-09 21:08:14
2269
原创 应用与数据安全
1:浏览器安全:服务器端和客户端;C/S结构(客户端/服务器端结构):当用户向客户端(APP)发送请求时,服务器端会直接接收客户端的请求,然后将结果反馈给客户端呈现在观众眼前。B/S结构(浏览器/服务器端结构):当用户向浏览器发送请求时,浏览器在给服务器端发送的过程中,首先要经过一个web服务器(类似于Tomcat)的过程才能发送过去,在返回的过程中也是一样的。两者的区别:C/S客户端电脑可...
2019-11-09 21:07:13
4817
原创 操作系统安全防护技术
操作系统概述:是计算机系统软硬件资源的控制中心。2:20世纪70年代中期出现计算机操作系统。3:特征:并发性、共享性、虚拟性、异步性。桌面操作系统:Mac OSX、linux、Windows;服务器操作系统:Unix系列、linux系列、Windows系列;嵌入式操作系统:Android、iOS、Symbian、Windowsphone;5:操作系统的功能(1)CPU管理 ...
2019-11-09 21:05:45
2533
原创 网络安全防护技术
1:网络基础知识Internet通过TCP/IP协议将遍布在全世界各地的计算机互联,从而形成超大的计算机网络。2:3:网络协议层模型4:通信网络地址的发出点为源地址,接收点为目的地址;在通信网络中,每台计算机必须有一个全球唯一的物理地址,这个地址工作在网络接口层,被称为MAC地址(48bit);还有一个逻辑地址,工作在IP层,所以称为IP地址(32bit);注:上述IP地址指的是I...
2019-11-09 21:03:21
3345
原创 信息安全基础技术
一:密码学1:发展:古典密码(19世纪末)----近代密码(20世纪初—1949)----现代密码(1949)----公钥密码(1976)(1) 古典密码的安全性在于保持算法本身的保密性;(2) 近代密码学的标志是机械密码和机电密码;(3) 现代密码是数据的安全基于秘钥而不是算法的保密;(4) 公钥密码是使发送端和接收端无秘钥传输;2:从密钥的实用角度,分为对称算法和非对称算法(1)...
2019-11-09 08:42:05
325
原创 信息安全概述
1:信息奠基人:香农2:消息是信息的外壳,信息是消息的内核,数据是信息的符号表示,或称载体,信息是数据的内涵,是数据的语义表示;3:技术:用于管理和处理信息采用的各类技术总称;4:信息技术四个阶段:(1)电讯技术:19世纪30年代,电话电报的出现;(2)计算机技术,20世纪30年代;(3)互联网时代,20世纪60年代末;(4)网络社会,20世纪末;5:信息安全:指保持、维持信息的保密...
2019-11-08 14:05:23
1039
原创 安全行业的大致了解
1:安全行业病毒的发展史单机威胁(90年代)——网络病毒与黑产(2000-2005)——流氓软件与灰产(2005-2010)——流量攻击与敲诈(2010-2015,DDOS肉鸡)——黑客攻击与web安全(补天、web安全时代)——高级威胁与勒索(2015-?)2:威胁表现得层次(1) 高级攻击:APT攻击、未知威胁;(2) 民用攻击:木马、病毒、诈骗、钓鱼、骚扰、信息泄露;(3) 商用攻...
2019-11-08 08:35:59
280
原创 了解等级保护测评
定义:在国家信息安全法等级保护制度规定内,受到该单位委托,运用合理的手段和技术,对该系统进行技术测评,对其进行评估,判定该系统是否符合所定级的安全等级要求,如果符合,则给出所定安全等级结论,如果不符合,则提出安全整改建议。合理的手段和技术(1)调研访谈:业务、资产、安全技术和安全管理(2)查看资料:管理制度、安全策略(3)现场观察:物理环境、物理部署(4)查看配置:主机、网络、安全设备...
2019-11-07 11:09:56
424
原创 信息安全等级保护
一:网络安全法**背景:**等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任。网络安全法是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。网络安全已经成为关系到国家安全和发展,关系到认命群众切身利益的重大问题。时间:2014.2,第一次在政府中提出网络安全法,2017.6.1,我国正式出台网络...
2019-11-07 10:01:49
640
原创 Python基础程序的编写
1:在Python中打印以下图形(不使用循环语句使用基础Print语句即可)+++++++++++ ++++++++++++2:输入一个数字,打印按位取反后的结果3:输入两个数分别为正方形的长和宽,打印周长和面积4:小明身高1.75,体重82KG。请根据BMI公式(体重初一身高的平方)帮小明计算他的BMI指数,并根据BMI指数:低于18.5:过轻18.5--...
2019-07-05 12:00:23
1097
原创 PGP加密技术应用
实验目的要求:知识目标:掌握PGP加密原理技能目标:掌握PGP在加密技术中的应用实验环境 :Windows10 x64、PGPDesktop-x64-10.0.3实验内容与完成情况:Part1 PGP软件的安装Part2 利用PGP软件实现邮件加密步骤1 打开PGP desktop,选择‘文件’菜单-新建-PGP密钥,打开‘PGP密钥生成助手’对话框!步骤2 输入名称和邮件地址...
2019-07-05 11:49:42
596
原创 云主机端口扫描
实验任务:1. 掌握Kali Linux中的Sqlmap各类功能及参数配置2. 使用Sqlmap对目标站点进行渗透攻击实验环境:1. kali虚拟机2. Windows server 2008虚拟机3. 在windows server 2008虚拟机中配置IIS,并创建好测试网站DVWA任务:使用Kali Linux环境中的Sqlmap实现对目标靶机网站的注入猜解打开测试站点DVWA...
2019-07-05 11:28:42
288
原创 Nagios安装配置
知识目标:掌握Nagios监控技能目标:掌握Nagios监控服务的搭建和配置实训环境:静态网络地址的配置主机名配置配置本地yum源关闭selinux服务,关闭防火墙Nagios-server的安装创建Nagios用户和组安装Nagios目录核对正确则表示安装成功安装邮件服务启动服务测试指定接受警告信息的邮件地址修改...
2019-07-04 12:11:35
210
原创 微服务项目的整合与测试
微服务项目的整合与测试1.1 微服务项目的结构与预览本项目模拟的是一个简单的商城管理系统。(1)microservice-eureka-server:用于服务注册发现(2)microservice-gateway-zuul:用于API网关(3)microservice-orderservice...
2019-06-04 10:57:05
169
原创 docker中的网络与数据管理
Docker网络管理一.Docker默认网络管理列举Docker中的所有网络–docker network ls(1)创建并启动容器–docker run -itd --name=networktest ubuntu(2)使用网络查看指令查看网络详情–docker...
2019-06-03 17:30:32
162
空空如也
如果设备使用HTTPS进行登录,但设备又开启了telnet服务端口,这样安全吗。
2020-04-16
TA创建的收藏夹 TA关注的收藏夹
TA关注的人