inskeyzh-CSDN博客

原创某eye应用——提高防范意识（二）

使用IE浏览器打开IP地址，这里我以某产品为例。输入账号admin密码12345登录注意：并不是每个IP地址都能成功登陆，多换几个试试登录成功时，如果提示要安装插件，需先进行下载安装插件安装好插件后，点击如图按钮即可查看镜头成功查看三、防护方案通过漏洞了解，提高防范意识。在上例中，我们可以知道，用户需要及时修改密码。...

2021-12-28 14:37:07 1684

原创 DeDeCMSv5.7 SP2正式版前台任意用户密码修改漏洞简报

一、漏洞概述1.简介织梦内容管理系统(DedeCms)以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，目前的版本无论在功能，还是在易用性方面，都有了长足的发展和进步，DedeCms免费版的主要目标用户锁定在个人站长，功能更专注于个人网站或中小型门户的构建，当然也不乏有企业用户和学校等在使用该系统。2018年1月10日，锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节。2.漏洞限制（1）只影

2021-11-28 15:46:01 322

原创 XSS窃取cookie

目录一、准备二、环境搭建1.主机环境搭建2.靶机环境搭建三、测试一、准备1.kali主机2.kali靶机如未安装kali，可参考以下链接：Kali Linux 安装过程超详细（图文并茂，通用版）_好好学习-CSDN博客_kali安装教程二、环境搭建1.主机环境搭建为避免测试过程出现权限问题，我们以root用户登录我们进入文件路径var/www/html的文件夹下创建两个php文件，分别命名为：submit.phph..

2021-11-21 16:35:40 3006

翻译 OWASP Top 10:2021——TOP1：访问控制中断

TOP1:损坏的访问控制1.概述相较于OWASP Top 10:2017，损坏的访问控制从第五位上升，94% 的应用程序接受了某种形式的访问控制损坏测试，平均发生率为 3.81%，在贡献的数据集中出现次数最多，超过 318k。值得注意的常见弱点枚举 (CWE) 包括CWE-200：将敏感信息暴露给未经授权的参与者、CWE-201：通过发送的数据暴露敏感信息和CWE-352：跨站点请求伪造。2.描述访问控制强制执行策略，使用户不能在其预期权限之外采取行动。故障通常会导致未经授权的信息泄露、

2021-11-14 19:00:44 401

原创通过“商品”图片查找“商店”信息

一、分析图片1.拿到图片首先查看文件详情，了解文件是否携带有有用信息。（兴许能直接查到照片拍摄地点，然而并没有什么有价值的信息。）2.分析图像，发现有商店名称，并且通过翻译发现有关于马来西亚（国家名）的街道信息。查找商店名称，知道该商店位于马来西亚的吉隆坡，这也符合了马来西亚特有的街道信息表示格式。二、定位商店位置1.利用谷歌地图的检索功能，找到商店位置。2.在地图上查看商店信息，了解到商店详细地址：Level5,BangunanTHUptown,...

2021-11-14 17:37:34 1398

原创 Z2-BeEF-XSS渗透框架的使用

一、准备1.kali主机2.kali靶机如未安装kali虚拟机可参考以下链接：Kali Linux 安装过程超详细（图文并茂，通用版）_好好学习-CSDN博客_kali linux安装教程二、环境配置推荐使用root用户登录

2021-11-13 22:19:50 2263

原创 Metasploit应用

一、准备1.kali主机2.Win7靶机如未安装kali或Win7，可参考以下链接：Kali Linux 安装过程超详细（图文并茂，通用版）_好好学习-CSDN博客_kali linux安装教程史上最详细的虚拟机VMware12安装Windows7教程_威士忌荡出の忧伤的博客-CSDN博客_虚拟机安装win7二、介绍本次测试需要进行远程控制操作，要了解远程控制程序基础。远程控制软件被控端：被控端是需要在靶机上运行的，有点类似于木马，它可以是一段代码，也可以是个直接执行的程序

2021-11-13 19:39:40 1967

原创漏洞渗透测试

一、准备1.Win7靶机2.kali虚拟机3.efssetup_2018.exe如未安装Win7靶机，可参考以下链接：史上最详细的虚拟机VMware12安装Windows7教程_威士忌荡出の忧伤的博客-CSDN博客_虚拟机安装win7kali虚拟机安装可参考以下链接：Kali Linux 安装过程超详细（图文并茂，通用版）_好好学习-CSDN博客_kali linux安装教程efssetup_2018.exe下载：链接：https://pan.baidu

2021-11-13 16:56:35 3305

原创笑脸漏洞vsftpd-2.3.4

一、介绍vsftpd存在一个后门漏洞，虽然该问题迅速得到了开发人员的修复及删除，但是仍有不少人已经下载安装了该漏洞版本。vsftpd程序服务端会接收来自用户输入的用户名和密码，只要用户输入的用户名中包含连续的“：”和“）”字符，就会自动在6200端口打开一个后门。二、准备1.kali主机2.靶机Metasploitable2-Linux如未安装好以上虚拟机，可参考以下链接Kali Linux 安装过程超详细（图文并茂，通用版）_好好学习-CSDN博客_kali linux安装教

2021-11-12 21:18:11 3523

原创 Wireshark分析明文账号、密码登录

一、准备Wireshark（如未安装Wireshark，可参考以下链接Wireshark下载安装教程_Qi2456的博客-CSDN博客_wireshark）二、Wireshark配置准备1.打开Wireshark，选择捕获接口。这里小编使用的是校园网，所以选择“WLAN”。2.配置显示过滤器进入捕获接口，会发现Wireshark正在捕获经过该接口下的数据包，这些数据包很凌乱，所以需要使用显示过滤器。在“应用显示过滤器”一栏中输入http.request.method.

2021-11-08 20:54:06 8847

原创 WinPE启动盘制作

一、准备1、移动U盘（制作将会进行U盘格式化，有需要请备份数据）2、WinPE安装包微PE工具箱 - 下载下载微PE工具箱。（以下以“WePE_64_V2.1.exe”为例）二、流程1、插入U盘，启动“WePE_64_V2.1.exe”2、右下角选择“安装PE到U盘”...

2021-11-01 13:11:03 3486

原创等保2.0

一、等保1.0等保1.0是指信息安全等级保护二、等保2.0网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法，《网络安全法》出台后，网络等级保护进入2.0时代。2019年5月13日，网络安全等级保护制度2.0标准（以下简称等保2.0标准）正式发布，并于2019年12月1日开始实施。等保2.0标准在1.0标准的基础上，注重全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。..

2021-11-01 13:06:55 3212

inskeyzh的博客