杂七杂八
文章平均质量分 89
重返太空
安全即交互与控制
展开
-
保存fofa数据的简单脚本
fofa查询数据保存到csv,方便后续利用😄当然工具一把梭的结果往往并不是那么美妙即使写的是屎一样的代码也要敢写,先写出来,再改进就行了。原创 2022-11-15 16:15:21 · 984 阅读 · 0 评论 -
pocsuite配套confluence RCE&weblogic反序列化漏洞复现&脚本编写
1.学习pocsuite的官方文档掌握框架的使用,此部分如果看过文档可直接略过2.复现 weblogic_cve_2017_10271 3.复现 confluence_cve_2019_3396 通过分析两个脚本学习编写思路 !!!不要进行非法测试!!!原创 2022-11-28 16:50:01 · 1003 阅读 · 0 评论 -
基于pikachu的漏洞学习(三)完结
文章目录命令执行&&代码执行文件包含文件上传越权反序列化XXESSRF不安全的url跳转其它命令执行&&代码执行原理也是之前说过n次的,观察下面的输入这是一个ping IP的接口,我们结束一个命令,添加一个命令,&&作为分隔符就会返回相应的结果下一个是个eval函数,php的执行命令的函数,输入phpinfo()没什么多说的,就是提供的接口就是执行命令&代码的,但是没有限制能执行哪些命令文件包含文件包含主要是代码复用用的到的,像是网原创 2022-04-10 11:41:40 · 1415 阅读 · 0 评论 -
基于pikachu的漏洞学习(一)暴力破解XSSCSRF
暴力破解在测试过程中经常会遇到类似的登录接口[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cusbAy3V-1649206917680)(assets/image-20211126143014206-20220112081102-h317duu.png)]随便输入一个用户名密码,输入正确的验证码,提示用户名或密码不存在[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rmo8HsT5-1649206917682)(assets/image-原创 2022-04-06 10:31:14 · 2743 阅读 · 0 评论 -
基于pikachu的漏洞学习(二)SQL
SQL注入和XSS一样的,将我们输入的数据当作代码执行,只不过这一次是数据库语句要做的也是一样的,闭合原本的语句,构造新语句数据库的基本查询语句也很简单,以pikachu的user表为例select * from users where id=1;查询/返回(所有信息)从(users表)当条件满足(id=1)相信学习过php商城那篇文章的小伙伴已经初步了解了sql的增删改查,不多说开胃小菜这是通过POST表单提交id参数进行的数据库查询(当然因为是SQL注入的练习所以不考虑匹配文件名那种原创 2022-04-08 09:24:16 · 1967 阅读 · 0 评论 -
weekly-反序列化两道CTF练习题
文章目录EZ-unserializePOP光说不练假把式,做点题,本次是某天的weekly-ctf的两道反序列化EZ-unserialize这是一个User类,定义了三个魔术方法,我们上一篇文章介绍了分别在什么时候调用,反序列化重建对象时会调用wakeup函数,在结束时会调用destructclass User{ function __construct($name,$pass){ $this->name = $name; $this->pass原创 2022-04-12 08:00:00 · 2713 阅读 · 0 评论 -
kali 2021.4a 环境配置
文章目录设置 root 用户目录设置英文pip 安装&软链设置burp_pro 安装这个版本的和以前的稍微有些出入,我用的时候还有一些bug,自己配置一下方便使用设置 root 用户因为好多时候需要 root 权限来回切换,索性直接使用 root 用户,先登录 kali/kalisudo passwd root设置密码重启即可 root/root 登录目录设置英文因为之前设置了汉化和中文输入法,导致我的目录也变成了中文,修改成英文修改配置文件vim ~/.config/use原创 2022-04-15 08:00:00 · 455 阅读 · 0 评论 -
cobaltstrick4.3 快速上手
每每写完一篇水文我都会默念罪过,但是转念一想,万一有人需要呢,所以我还是会厚着脸皮发出来毕竟自己真的遇到过这些问题文章目录启动图标介绍设置监听主机上线power shell 后门分析执行后门文件 上线后续利用启动cs 分为服务端和客户端,客户端和服务端可以是多对多的关系,便于团队协作服务端启动需要几个文件(版本不同需要的文件也不同)设置服务端 IP 和密码,默认端口 50050(kali IP 为 43.128)./teamserver 192.168.43.128 123456客户端原创 2022-04-13 09:20:09 · 1515 阅读 · 0 评论 -
ATT&CK 1一个烂尾的学习记录
这篇文是我翻草稿发现不知道什么时候写的,只写到一半虚拟机都删除了,但是既然写都写了,凑合看一看。原创 2022-09-24 17:04:19 · 1375 阅读 · 0 评论