qq_42383069的博客

SSRF漏洞简析1.漏洞介绍2.漏洞成因3.漏洞流程梳理4.简要总结5.在centos下测试6.利用方式7.常见的防御方法8.ssrf常发生的位置1.漏洞介绍SSRF服务器端请求伪造漏洞:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF访问的是目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）2.漏洞成因SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。

新出道信息安全爱好者，有很多需要学习的地方，愿有一天能追上大佬步伐。好了，下面进入正题，上半年6月份参加了铁人三项赛，线下web题为Maccms8.x ，当时也是通过团队协作以及百度资源成功破解服务器，现在我搭建了靶机，具体步骤写出来。1.准备:phpstudy＋Maccms8.x 源码搭建成功后我们先来访问一下 因为Maccms8.x 存在命令执行漏洞，所以我们先点击searc...

墨者学院 - Tomcat后台弱口令漏洞利用详解刚刚登陆了墨者学院做了这道题，其中被几个小问题拦住了，但最终还是解决了，现在详细的说一下，针对小白。解题思路先大概说一下：题目可以知道是后台弱口令，先找到后台，弱口令 admin 123456进后台，上传war包的jsp马 ，连接木马，找到key。重点来了：那儿只能上传文件后缀为.war，那么它是什么呢？你可以理解为就是一个包，然后它里面包含...

目标机：172.18.206.87(学校内网)网址：www.manage.vslab…9.26号和老师谈论了仿真实验网站的安全性，经过老师的允许，我开始有了寻找漏洞的想法。寻寻觅觅，一时间来到了10月中旬，首先看到它有上传功能，便想到了上传一句话木马，从响应头看到它是jsp写的，然后上传jsp大马，抓包改后缀，但是，没有返回路径？？？？真的难受啊，折腾了好几天，最终，放弃吧…（后来我发现原...