- 博客(118)
- 收藏
- 关注
RSS订阅原创 春秋云境—Initial
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
2023-07-15 14:16:31
1852
4
原创 2022网鼎杯半决赛复盘
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
2023-07-12 17:29:07
1724
原创 CVE-2022-31325
ChurchCRM后台注入ChurchCRM是一个为教会打造的开源 CRM 系统。ChurchCRM 4.4.5版本存在安全漏洞,该漏洞源于/churchcrm/WhyCameEditor.php 中的“PersonID”字段存在安全问题。
2023-06-29 14:29:35
696
原创 CVE-2022-25099
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE。
2023-06-25 12:06:36
454
原创 CVE-2022-25401
Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞。
2023-06-23 15:20:10
409
原创 CVE-2022-25411
Maxsite CMS文件上传漏洞。MaxSite CMS是俄国MaxSite CMS开源项目的一款网站内容管理系统。马克斯程序(MaxCMS)以开源、免费、功能强大、安全健壮、性能卓越、超级易用、模板众多、插件齐全等优势,受到众多企业和站长的喜爱。马克斯程序研发团队拥有多年的技术积累和产品开发经验,成立了官方技术支持团队、官方模板团队、官方插件团队。一切立足于站长利益、孜孜不倦的挖掘站长需求、不断提升产品体验,自主创新多项特色技术、提升网站品质!
2023-06-23 15:05:09
394
原创 CVE-2022-32992
该CMS的admin/operations/tax.php中存在可控的INSERT 语句参数,从而导致了SQL注入攻击。
2023-06-09 20:47:34
226
原创 安装Typora
将文件夹中下载的“app.asar.txt”文件中的后缀“.txt”去掉,将Typora安装路径resources下的原文件“app.asar”删除掉,然后再把刚才新拷贝的文件粘贴进去。在邮箱一栏中任意填写(但须保证邮箱地址格式正确例如"1@1.com"),输入序列号(在文件夹中的key.txt文件中,任选一条),点击“激活”。
2023-06-08 12:18:00
2320
1
原创 CVE-2022-28512
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
2023-06-07 20:08:38
171
原创 CVE-2022-29464
WSO2文件上传漏洞(CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。
2023-06-06 19:34:02
233
原创 CVE-2022-30887
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
2023-06-06 16:58:05
214
原创 第十一章 Python第三方库纵览
功能,包括国际域名和URL获取、HTTP长连接和连接缓存、HTTP会话和cookie保存、浏览器使用风格的SSL验证、基本的摘要认证、有效的键值对cookie记录、自动解压缩、自动内容解码、文件分块上传、HTTP(S)代理功能、连接超时处理、流数据下载等。的Python 第三方库,它支持读取、查询以及修改doc、docx等格 式文件,并能够对Word常见样式进行编程设置,包括:字符样式、段落样式、表格样式等,进一步可以使用这个库实现添加和修改文本、图像、样式和文档等功能。这个库是Python语言。
2023-06-06 13:28:17
507
原创 第十章 Python第三方库概览
自定义安装指按照第三方库提供的步骤和方式按照。第三方库都有主页用于维护库的代码和文档。以科学计算用的numpy为例,开发者维护的官方主页是:https://numpy.org/PyInstaller是一个十分有用的Python第三方库,它能够在Windows、Linux、Mac OS X等操作系统下将Python源文件打包,变成可直接运行的可执行文件。通过对源文件打包,Python程序可以在没有安装Python的环境中运行,也可以作为一个独立文件方便传递和管理。
2023-06-04 19:08:11
766
原创 第九章 Python标准库概览
turtle(海龟)是Python重要的标准库之一,它能够进行基本的图像绘制。turtle库绘制图形有一个基本框架:一个小海龟在坐标系爬行,其爬行轨迹形成了绘制图形。对于小海龟来说,有“前进”、“后退”、“旋转”等爬行行为,对坐标系的探索也通过“前进方向”、“后退方向”、“左侧方向”和“右侧方向”等小海龟自身角度方位来完成。,则对turtle库中函数调用采用turtle.()形式。
2023-06-02 19:40:42
668
原创 第八章 Python计算生态
以设计和构造为特征的计算思维,以计算机学科为代表。或者说,先运行和测试每一个基础函数,再测试由基础函数组成的整体函数,这样有助于定位错误。由于Python有非常简单灵活的编程方式,很多采用C、C++等语言编写的专业库可以经过简单的接口封装供Python语言程序调用。近20年的开源运动产生了深植于各信息技术领域的大量可重用资源,直接且有力的支撑了信息技术超越其他技术领域的发展速度,形成了“HTML指超文本标记语言,严格来说,HTML不是一种编程语言,而是一种新型的标记语言,对Web的内容、格式信息描述。
2023-06-02 13:55:46
821
原创 第七章 文件和数据格式化
可以同做一组方式读取文件的内容或向文件写入内容,操作之后需要将文件关闭,关闭将释放对文件的控制是文件恢复或存储状态,此时,另一个进程能够操作文件。因此,二维数据可以采用二维列表来表示,即列表的每个元素对应二维数据的一行,这个元素本身也是列表类型,其内部各元素对应对应这行中的各列值。替换源代码文件的大小写。二维数据,也称表格数据,有关联关系数据构成,采用二维表格方式组织,对应于数学中的矩阵,常见的表格都属于二维数据。一组数据在被计算机处理前需要进行一定的组织,表面数据之间的基本关系,进而形成”数据的维度“。
2023-06-01 16:50:31
860
原创 CVE-2022-32991
该CMS的welcome.php中存在SQL注入攻击。Web Based Quiz System是一个应用软件。用于一个简单的在线基础的项目。Web Based Quiz System v1.0版本存在SQL注入漏洞,该漏洞源于welcome.php中的eid参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
2023-05-30 21:21:23
477
原创 第六章 组合数据类型
Python语言中的集合类型与数学中的集合概念一致,既包含0个或多个数据项的无序组合。集合是无序组合,用大括号({})表示,它没有索引和位置的概念,集合中元素可以动态增加或删除。集合元素不可重复出现,元素类型只能是固定数据类型,例如:整数、浮点数、字符串、元组等,列表、字典和集合类型本身都是可变数据类型,不能作为集合的元素出现。需要注意,由于集合元素是无序的,集合的打印效果与定义顺序可以不一致。由于集合元素独一无二,使用集合类型能够过滤重复元素。
2023-05-30 13:38:02
1518
2
原创 第五章 函数和代码复用
def < 函数名 >(< 参数列表 >) : < 函数体 > returen < 返回值列表 >函数名可以是任何有效的Python标识符。参数列表是调用该函数时传递给它的值,可以有零个、一个或多个,当传递多个参数时个参数由逗号分隔,当没有参数时也要保留圆括号。参数列表中参数是形式参数,简称为“形参”,相当于实际参数的一种符号表示或符号占位符。函数体是函数每次被调用时执行的代码,由一行或多行语句组成。如果需要返回值,使用保留字return和返回值列表。
2023-05-26 20:20:26
1415
原创 第四章 程序的控制结构
语句块>是if条件满足后执行的一个或多个语句系列,缩进表达与if的包含关系。是一个产生True或False结果的语句,当结果 为True时,执行,否则跳过。要注意,Python会按照多分支结构的代码顺序依次评估判断条件,寻找并执行第一个结果为True条件对应的语句块,当前语句块执行后跳过整个if-elif-else结构。continue语句和break语句的区别是:continue语句只结束本次循环,不终止整个循环的执行,而break具备结束整个当前循环的能力。
2023-05-25 16:02:59
1323
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人