- 博客(14)
- 资源 (39)
- 收藏
- 关注
RSS订阅原创 渗透测试知识星球免费
我正在「渗透测试」和朋友们讨论有趣的话题,你⼀起来吧?https://t.zsxq.com/UbUNRjY 推荐给大家一个知识星球。相互学习,免费的
2020-11-25 09:43:35
602
原创 Oracle WebLogic Server未授权远程代码执行漏洞处置方案
Oracle WebLogic Server未授权远程代码执行漏洞处置方案2020年10月29日,Oracle WebLogic Server 远程代码执行漏洞(CVE-2020-14882)POC被公开,未经身份验证的远程攻击者通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,成功利用此漏洞的攻击者可在未经身份验证的情况下接管 WebLogic Server Console ,并执行任意代码。目前已经POC已经被公。由于此漏洞通过HTTP协议利用,利用门槛低危害大
2020-11-06 17:47:42
1456
1
原创 Weblogic反序列化漏洞(绕过CVE-2019-2725)处置方案
Weblogic反序列化漏洞(绕过CVE-2019-2725)处置方案TAG:Oracle、Weblogic、远程代码执行、wls9-async、wls-wsat、CNVD-C-2019-48814、CVE-2019-2725危害等级:高,监测到CVE-2019-2725漏洞补丁存在绕过方式,可造成远程代码执行。版本:1.01漏洞概述近日,绿盟科技安全团队发现针对Oracle Weblogic的在野漏洞利用,攻击特征与CVE-2019-2725类似。此攻击可以绕过O
2020-11-06 17:46:33
784
1
原创 HTTP协议
HTTP(s)协议方法:GETHEAD:仅需要发送响应体首部PUTPOSTTRACE:跟踪报文到服务器经过几次代理OPTIONS:在服务器可以执行哪些方法DELETE常见响应码100:收到了请求的初始部分,请客户端继续200:客户端请求成功201:用于创建服务器对象的请求202:请求已接受,但服务器还未对其执行任何动作205:主要用于浏览器的代码,负责告知浏览器清...
2020-11-03 06:49:02
89
原创 SQL注入
SQL注入漏洞原理SQL注入漏洞的原理是由于开发者在白那些操作数据库代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任何过滤或过滤不严谨,导致攻击者可以使用恶意语句在数据库引擎中执行漏洞危害*SQL注入是直接面对数据库进行的,所以危害不言而喻,主要有以下几种危害权限较大的情况下,可以通过SQL注入直接写入WEBshell或者直接执行系统命令权限较小的情况下,可以通过获得管理员权...
2020-11-03 06:48:36
211
原创 Tomcat远程代码执行漏洞利用与安全测试实践
TOMCAT远程代码执行漏洞(CVE-2017-12615)NTFS文件流:tomcat7.0.79下载功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowc...
2020-11-03 06:47:52
964
2
转载 Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。漏洞详情腾讯安全玄武实验室研究员发现在Apache Shiro 1.5.3之前的版本,将Apache Shiro与Spring控制器一起使用时,特制请求可能会导致身份验证绕过。漏洞发现者该漏洞由腾讯安全玄武实验室的Ruilin发现并报告,此外来自边界无限的淚笑也独立向官方报
2020-11-03 04:38:58
3406
原创 ThinkPHP漏洞总结
ThinkPHP漏洞总结ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。0x00前言本篇文章将针对ThinkPHP的历史漏洞进行整理复现,今后爆出的ThinkPHP漏洞,也将进行补充更新。0x01ThinkPHP远程命令执行/代码执行漏洞一,ThinkPHP
2020-11-03 04:37:05
2793
原创 支付漏洞学习
支付漏洞学习首先先了解支付漏洞:支付漏洞的理解通常都是篡改价格。比如,一分钱买任何东西。少收款、企业收费产品被免费使用,直接造成企业的经济损失。这次带来的是某辅助论坛的邀请码购买处的支付漏洞实战,仅供参考。首先打开目标:https://www.XXXX.com/rjyfk_invite-in.html此处是它购买邀请码的地址:然后填写好邮箱后点击 立即购买 然后利用burp进行抓包因为价格是10 我们搜索“10”得到如下结果:可以看到 “total_fee=10” 那么10就代表了邀
2020-11-03 04:36:00
348
原创 Apache Shiro身份验证绕过漏洞处置方案
Apache Shiro身份验证绕过漏洞处置方案2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。漏洞描述Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB
2020-11-03 04:34:16
1646
原创 WebSphere远程代码执行漏洞处置方案
WebSphere远程代码执行漏洞处置方案2020年6月5日,IBM官方发布安全通告修复了WebSphere Application Server中的远程代码执行漏洞(CVE-2020-4450),根据IBM官方通告,WebSphere Application Server存在一处IIOP反序列化漏洞,将会导致远程代码执行,未经身份认证的攻击者可以通过IIOP协议远程攻击WebSphere Application Server服务器。鉴于该漏洞影响较大,建议客户尽快安装软件更新。漏洞描述WebSphe
2020-11-03 04:32:48
1592
原创 生成器
def func():print('第一次')yield 1 # 能返回多次值# print('第2次')yield 2 # 能返回多次值# print('第3次')yield 3 # 能返回多次值# print('第4次')yield 4 # 能返回多次值# print('第5次')yield 5 # 能返回多次值g = func()print(g)#生成器就是迭代器g.iter()res = g.next()print(res)def my_range(sta
2020-11-02 23:59:08
644
原创 迭代器
while True:‘’‘每一次重复与上次有关联’’’count = 0while count<5:print(count)count+=12 为什么要有迭代器迭代器是用来迭代去之的工具,而涉及到把多个值循环取出来的类型有:列表 字符串 元组 集合 文件l = ['egon','liu','alex']i = 0while i < len(l): print(l[i]) i+=1上述迭代取值的方式值适用于索引的数据类型:列表 字符串 元组为了解决基于
2020-11-02 23:11:59
119
原创 有参装饰器
from functools import wrapsimport timedef index(x,y,z): #被装饰对象# time.sleep(3)print(‘index %s %s %s’ %(x,y,z))def outter(func):@wraps(func) #把func的属性赋值给wrapperdef wrapper(*args,**kwargs):res = func(*args,**kwargs)return res#手动将原函数的属性赋值给wrapper函数
2020-11-02 21:38:23
148
Hacking club内部分享(月神).pdf
2020-08-24
pyinstxtractor.py
2020-12-02
2、编程语言与Python介绍.pdf
2020-10-28
1、计算机核心基础.pdf
2020-10-28
最详细的Android SDK下载安装及配置教程.pdf
2020-09-14
高危端口关闭说明.pdf
2020-07-13
cve-2019-0708扫描.rar
2020-07-02
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
2020-07-01
Apache shiro1.2.4反序列化漏洞介绍.docx
2020-07-01
爆破有验证码的后台.rar
2020-05-19
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
2020-04-27
web开发必须注意的9大原则
2020-04-26
tomcat漏洞总结.rar
2020-04-21
XSS字典大全.rar
2020-04-17
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人