- 博客(11)
- 收藏
- 关注
RSS订阅原创 织梦复现任务
主题:【复现任务】织梦CMS前台任意用户密码修改漏洞班级:20003301姓名:2000300206农诗佳2000300407韦肖怡漏洞概述1 简介织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不
2021-12-15 05:16:00
161
原创 帝国CMS7.5漏洞复现
漏洞描述帝国CMS系统,EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。该漏洞的产生,最根源的问题是没有对get,post提交方式进行严格的安全效验与过滤,导致可以插入恶意代码到后端服务器去处理,导致漏洞的发生。本次复现需要弄到管理员权限,登陆到后台。影响的版本:EmpireCMS V7.5漏洞危害:工具:御剑、bur suite、菜刀,蚁剑漏洞复现1、安装帝国网站管理系统源码下载地址:帝国软件..
2021-12-15 05:07:39
4815
原创 渗透实验四
实验目的通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。获取靶机Web Developer 文件/root/flag.txt中flag。实验内容、原理基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发..
2021-12-15 05:01:56
312
原创 渗透实验三
2、实验内容、原理XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/v..
2021-12-15 04:52:22
234
原创 织梦复现任务
主题:【复现任务】织梦CMS前台任意用户密码修改漏洞漏洞概述1 简介织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。2018 年 1 月 10 日, 锦行信息安全公众号公
2021-12-11 22:45:57
134
原创 渗透实验二
实验步骤和内容:网络嗅探部分:网络嗅探:Wireshark 监听网络流量,抓包。ARP欺骗: ArpSpoof,实施ARP欺骗。防范: 防范arp欺骗。实验网络拓扑1、A主机上外网,B运行sinffer(Wireshark)选定只抓源为A的数据)。1.1 写出以上过滤语句。Ip src==192.138.233.1301.2 B是否能看到A和外网的通信(A刚输入的帐户和口令)?为什么?不能,此时还没有进行攻击2.1 为了捕...
2021-11-27 00:37:17
151
原创 渗透测试一
实验一 网络扫描与网络侦察实验目的:理解网络扫描、网络侦察的作用;通过搭建网络渗透测试平台,了解并熟悉常用搜索引擎、扫描工具的应用,通过信息收集为下一步渗透工作打下基础。系统环境:Kali Linux 2、Windows网络环境:交换网络结构实验工具: Metasploitable2(需自行下载虚拟机镜像);Nmap(Kali);WinHex、数据恢复软件等实验步骤:1、用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档,截图
2021-11-21 22:16:47
810
原创 网络渗透———复现任务
1、靶机安装easy file sharing server(efssetup_2018.zip)2、利用Nmap扫描发现靶机(Windows)运行了该服务。打开VM,从文件中打开Metasploitable2并登录,用户名跟密码都是msfadmin。显示msfadmin@metsploitable:~$ 即登录成功。然后运行infonfig确认靶机IP地址。从kali信息收集中找到nmap并打开,输入sudo passwd root登录输入密码su root成功获取root权限。
2021-11-07 17:03:55
285
原创 制作PE启动盘
操作步骤:1、打开大白菜超级U盘装机工具,点击主界面的(U盘启动)模块,然后选择【默认模式】。2、在【请选择】后面选择需要制作启动的设备(插入的USB设备,一般会默认读取该设备)。3、模式选择【USB-HDD】,格式选择【NTFS】,然后点击【一键制作USB启动盘】。4、在点击一键制作后会弹出一个关于【U盘数据删除且不可恢复】的窗口,选择【是】。5、然后就是等待该工具对U盘进行一个相关数据的写入,右下角会有【进程显示】。6、完成后,可以点击【模拟启动】(一般会出现
2021-10-15 22:21:28
2642
原创 等保2.0相关知识
等保2.0详解 + 瑞星等保三级解决方案http://www.rising.com.cn/2019/db2/#_Toc12535289
2021-10-15 21:58:15
81
原创 根据非原图图片找到详细信息
(1)分析图片搜索相关信息从图片中可以看出这张照片是麦当劳,然后仔细读取图片中的文字,看见Arbang Alaf Restaurant以及jalan SS21/39,百度搜索发现这是一家餐厅名字跟jalan是马来西亚街道的意思,那么推测jalan SS21/39大概是一个地址。格邦阿拉夫餐厅搜索到的一张完整账单(2)定位地图进行搜索发现这家麦当劳餐厅得到这家餐厅的具体位置。地址:Level 5, Bangunan TH Uptown, 3, Jalan SS 21/39, ...
2021-10-10 00:02:49
450
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人