- 博客(24)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 说明如下漏洞的危害☁
上传一个一句话木马,利用软件链接木马,可以实现对远程服务器cmd的使用,文件可视化管理 上传脚本文件,脚本提供接收前端参数的功能,并且脚本提供执行命令的函数。文件包含漏洞产生的原因是在引入文件时,由于传入的文件名没有经过合理的校验或者校验被绕过,从而操作了预想之外的文件,因此导致意外的文件泄露甚至恶意的代码注入。通过抓包查看网页数据包,更改请求头为 OPIIONS 可以看到网页可使用的请求方法,正常网站是不允许开的。根据不同的检测机制进行不同的绕过,例如图形验证码绕过,短信验证码,网盾绕过、key绕过等。
2023-10-19 17:29:23
76
原创 Ranven2 靶机
通过 Nmap 进行同一网段下主机 IP 扫描 (之前扫错网段 192.168.0.0 所以没有扫描成功)通过 searchsploit 漏洞查找工具可知 PHPMailer 5.2.18 存在 RCE 漏洞。通过查找 PHPMailer 5.2.18 相关信息找到其漏洞编号和提权思路。通过运行 EXP 脚本获取 Shell 地址。对 IP 地址进行扫描,找到开放端口等信息。靶机搭建后网卡同一设置成 NAT 模式。反弹shell ……通过 afrog 扫描到以下信息。使用 Xray 进行漏洞扫描。
2023-10-13 23:01:58
103
原创 漏洞复现——Webmin 远程命令执行(CVE-2019-15107)
Webmin是一款基于Web的远程管理工具,该工具存在一个远程命令执行漏洞(CVE-2019-15107)。攻击者可以通过特制的请求,未经身份验证的情况下执行任意命令,并可能导致服务器被完全控制。禁用或限制Webmin的远程访问,仅允许访问来自受信任的IP地址。尽快更新Webmin版本至1.930或更高版本,以修复该漏洞。配置Web服务器强制使用HTTPS加密连接,并使用安全证书。使用防火墙规则,限制对Webmin的访问仅来自内部网络。Webmin版本:1.920及之前的版本。此漏洞报告无附带文件。
2023-10-12 21:34:25
124
原创 Docker 常用命令
docker中文社区,docker帮助,docker手册,docker教程,docker安装手册 - docker中文社区。docker ppt - docker中文社区。
2023-10-12 13:59:40
21
原创 windows应急响应基本思路
一、系统排查1、系统信息2、用户信息3、 启动项4 、任务计划二、进程排查三、服务排查四、文件痕迹排查1.敏感目录2.时间点查找3 .webshell文件五、日志分析1.系统日志2.安全性日志3.应用程序日志4.日志分析六、内存分析1 .内存的获取2 .内存的分析七、流量分析八、威胁情报
2023-09-16 15:19:03
129
1
原创 通关jwt靶场的其中两关
通过重写父类的方法,子类可以在不改变原有的继承关系的前提下,根据自身的需要进行定制,并且可以在父类的基础上进行扩展和优化,提高代码的复用性和可维护性。Java的数据类型具有固定的内存宽度,不同的数据类型占用的内存大小是不同的,编写代码时直接写内存宽度可能导致代码不可移植。例如,可以使用类来表示现实世界中的对象,如人、车、手机等,通过定义类的属性和方法,可以方便地创建和操作这些对象。子类可以重用父类的代码,避免重复编写相同的功能,同时可以在需要的情况下添加新的属性和方法,实现功能的扩展和定制。
2023-09-14 17:48:38
50
1
原创 Exercise:1.CSRF漏洞场景复现 2.场景测试 3.CSRF与XSS 相结合
1. CSRF 漏洞场景复现2. CSRF 漏洞验证3. CSRF 与XSS 相结合
2023-08-28 22:50:22
604
1
原创 Exercise:1. 宽字节注入练习 2. HTTP 头部注入练习 3. sql 注入读写文件 4. sqlmap练习
1. 宽字节注入练习2. HTTP 头部注入练习3. sql 注入读写文件4. sqlmap练习
2023-08-25 09:27:21
753
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人