记一次偶然的测试(纯水)

已于 2024-06-13 15:01:00 修改
阅读量458 收藏 1
点赞数 10
分类专栏: 测试文章 文章标签: web安全
于 2024-06-13 14:58:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60767986/article/details/139654314
版权

记一次偶然的测试(纯水)

请勿使用本文档提供的相关工具开展任何违法犯罪活动。本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!!

某天晚上,看了几篇测试文章,心血来潮,于是想在fofa上找一个目标进行测试,而且心里的要求是目标是某cms搭建的,并且是php语言开发,于是便搜寻了起来

发现

在寻找的过程中,看到了这样一个站

image-20240613135445242

看到请求里面的JSESSIONID就知道,这是java开发的,不是我们想要的

然后我简单做了一下信息收集

image-20240613140211752

插件里面没发现重要的东西,在使用whatweb的工具,测试了一下,当时没看到shiro,真的是眼花了

image-20240613140529560

在抓包,响应里可以看到

image-20240613140944652

之后因为不是我想要的测试目标,就没打算继续测

眼前一亮

就在我放弃,切屏去找新的目标的时候,忽然发现,我的burp插件发现了shiro,而且还爆破除了key

image-20240613141242328

那接下来,用这个key测试一下,是不是真的存在漏洞

image-20240613141644550

发现key是正确的,而且爆出了利用链,这接下来,就可以玩了,发现是root权限,真的无敌

image-20240613141919822

本白的三养胶麦
关注
专栏目录
五分之四的不同表达式_省技能大赛题库(五) 滴定分析基础知识
weixin_39612332的博客
12-31 2424
1.滴定分析中,若怀疑试剂在放置中失效可通过()的方法检验。A.仪器校正B.对照试验C.空白试验D.无合适方法2.分析测定中出现的下列情况,属于偶然误差的是()。A.滴定时所加试剂中含有微量的被测物质B.滴定管的最后一位数偏高或偏低C.所用试剂含干扰离子D.室温升高3.检验方法是否可靠的办法是()。A.矫正仪器B.测加标回收率C.增加测定的次数D.做空白实验4.使用万分之一分析天平用差减法进行称量...
电子政务-一种纯水电导率测试笔.zip
09-15
电子政务-一种纯水电导率测试笔.zip
说说这半年做的一个项目,并分享给各位
weixin_30755393的博客
10-30 215
  已经快一年没有写博客了,实在是太忙了,忙到已经没有时间写文章。近半年的时间一直在忙着一个新项目,最近终于有了阶段性成果,觉得很有必要写写文章来录一下这个新的项目。趁着这两天赶路的空闲时间录分享一下项目的经验和过程。   (一) 这是一个什么类型的项目     其实自己做吉特仓储管理系统已经好一些年了,当初的目的就是为了能够完整的做一个项目,其实当时就是偶然的机会想到做这个...
【概率论与数理统计】第1章 随机事件与概率,事件的关系及运算,概率的定义,事件的独立性
persona5joker的博客
07-19 1469
随机事件与概率,事件的关系与运算,概率的定义,条件概率,贝叶斯公式等
2021年G3锅炉水处理考试及G3锅炉水处理最新解析
weixin_59150731的博客
09-01 803
题库来源:安全生产模拟考试一点通公众号小程序 安全生产模拟考试一点通:G3锅炉水处理考试参考答案及G3锅炉水处理考试试题解析是安全生产模拟考试一点通题库老师及G3锅炉水处理操作证已考过的学员汇总,相对有效帮助G3锅炉水处理最新解析学员顺利通过考试。 1、【多选题】空白试验是为了消除或减少()。( AD ) A、.试剂 B、.偶然误差 C、.方法误差 D、.仪器误差 E、.操作误差 2、【多选题】锅筒内部有()装置。( ACDE ) A、.蒸汽净化 B、.自动给水 C、.连续排污 D、.加药 E、.给
纯水水质检测录.doc
02-12
纯水制备中,通常需要将其含量控制在一个极低的水平。 氨的存在可能是由于水源受到污染或者消毒过程中产生了氨氮化合物。氨对于某些生物实验和电子器件的生产是有害的,因此需要严格控制。 钙镁离子是硬度的主要...
行业分类-设备装置-一种分解纯水制氢的催化剂及其制备方法.zip
08-21
压缩包内的文件“一种分解纯水制氢的催化剂及其制备方法.pdf”很可能是详细的技术报告或专利文档,涵盖了催化剂的化学成分、结构特性、制备步骤、性能测试和实际应用等内容。这类资料对于理解催化剂如何提高水解效率...
行业分类-设备装置-一种具有纯水祛痘效果的水凝胶及其制备方法.zip
09-04
标题和描述中提到的是一种与医疗或美容相关的技术,具体来说是关于“具有纯水祛痘效果的水凝胶”及其“制备方法”。这种水凝胶可能是一种应用于皮肤护理的产品,尤其针对痤疮(痘痘)问题。在IT行业中,虽然这类技术...
ER037 纯水系统运行录00.doc
12-23
录表格中的“上午”和“下午”栏目,意味着每天两次测量这些参数,以确保纯水系统全天候的稳定运行。每次测量后,录人和核对人都需要签字确认,这既是质量控制的一部分,也是确保数据准确无误的必要步骤。 纯水...
2024网络安全人才实战能力白皮书安全测试评估篇
2301_76786857的博客
09-13 778
据了解,白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案。当前,在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全和社会稳定的重要手段之一,社会急需网络安全测评人才,防范化解风险提供安全保障。
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 2576
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 2025
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
linux-安全管理-防火墙与网络安全
最新发布
Flying_Fish_roe的博客
09-16 1203
在 Linux 系统中,防火墙与网络安全是确保系统安全性的重要组成部分。通过合理配置防火墙规则、使用 SSH 密钥认证、启用 SSL/TLS 加密等手段,管理员可以有效防止网络攻击和未经授权的访问。使用iptables或firewalld管理网络流量,限制不必要的服务和端口。加固 SSH 配置,禁用 Root 登录,使用非默认端口,并启用密钥认证。为 Web 服务配置 SSL/TLS 加密,确保通信安全。使用fail2ban等工具防止暴力破解,定期进行端口扫描和系统安全审计。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 425
y0usef靶机渗透实例
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 746
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
零基础小白能学网络安全吗?
2401_83781461的博客
09-11 352
网络安全涉及很多内容、计算机网络、暴力破解、安全工具、漏洞扫描、渗透测试、社会工程学、密码学、编程能力等等等等,学习起来需要大量的时间和精力。首先,问出这个问题的朋友,我大致判断一下,你对网络安全并不了解,只是单纯看到某个视频某篇文章,对其感兴趣,说白了你没有足够的动力驱动。但这并不意味着你不能学习。如果你正好是相反之人,可以先接触学学看,如果真的很难理解其中的概念和原理,那么或许你真的不适合学习网络安全。在大众眼中,网络安全可能就是黑别人网站的,账号被盗了能帮忙找到的,还有遇见老赖问能不能找到这个人的。
【网络安全】-文件下载漏洞-pikachu
weixin_65311462的博客
09-11 1096
网站对用户查看和下载文件不做限制,使hacker可以利用利用这些文件进行提权操作,完全控制服务器,进而以服务器为跳板攻击网站其他系统,进一步扩大攻击范围。文件上传漏洞是指hacker利用网站或web应用系统中用户上传文件的功能,在上传过程中上传恶意文件,这些恶意文件在服务器端被解析时产生漏洞,从而导致攻击者能够在服务器上执行任意代码的一种安全漏洞。
网络安全(黑客)——自学2024
2401_84466325的博客
09-13 1754
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值