fufu0615-CSDN博客

原创 CVE-2023-25690 漏洞复现

Apache HTTP 服务器2.4.0到2.4.55版本中，当同时启用 mod_proxy 模块和某些 RewriteRule 或 ProxyPassMatch 规则时，如果这些规则使用非特定模式匹配用户提供的请求目标(URL)数据，并通过变量替换方式将这些数据重新插入到代理请求目标中，就会存在安全风险。可能引发HTTP 请求走私攻击。

2025-05-01 14:34:27 803

原创计算机网络复习要点（二）

原理：以特殊的位模式01111110作为帧标志，来表示帧的开始和结束。存在的问题：帧标志‘01111110’ 可能存在于帧中，导致不同帧数据之间的混淆。解决方案：当帧内容中每出现5个1，则在其后插入一个0，即变成01111101，接收方则将自动删除第5个1后的0。这称为位填充法，也称为透明传输。

2024-06-15 22:34:35 771

当帧内容中出现一个与帧标志相同的位串01111110，则在5个1后插入一个0，即变成01111101，接收方将自动删除第5 个1后的0。这称为位填充法，也称为透明传输。调制解调器将数字信号转换为模拟信号（调制），通过电话线传输，再将其转换回数字信号（解调）。用一些特殊字节（FLAG）作为帧开始和结束标志，用转义字符（ESC）来区分二进制数据中存在的特殊字节。以特殊的位模式01111110作为帧标志，即一个帧的开始（同时标志前一个帧的结束），电路接续时间长，通信效率低，不同类型终端用户之间不能通信。

2024-06-13 22:00:08 538 1

原创计算机网络第一章复习

计算机网络主要是由一些通用的、可编程的硬件互连而成的，而这些硬件并非专门用来实现某一特定目的（例如，传送数据或视频信号）。这些可编程的硬件能够用来传送多种不同类型的数据，并能支持广泛的和日益增长的应用。

2024-06-11 13:27:43 766 1

原创 pikachu靶场-CSRF(跨站请求伪造)

Cross-site request forgery 简称为“CSRF”，在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。

2023-12-30 08:34:04 1283

原创 pikachu靶场-Crossing-Site Scripting

Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。

2023-12-24 23:13:24 994

原创【漏洞复现】Easy File Sharing Web Server 漏洞的简单利用

EFS Web Server 7.2版本中存在基于栈的缓冲区溢出漏洞。远程攻击者可通过向forum.ghp文件发送恶意的登录请求利用该漏洞执行任意代码。

2023-12-20 23:32:08 1517 1

原创 upload-labs靶场通关题解（未完待续……）

可以根据arp缓存可以判断要ping的主机是否开机（看arp广播请求MAC地址时对方是否有回应）防火墙根据ip数据报五元组中的协议号类型来决定是否丢掉。抓包http://www.guet.edu.cn。通过直接访问具体服务的端口来判断服务是否开放。防火墙如何让你ping不到。

2023-12-19 21:32:57 440

原创 pikachu靶场题解-暴力破解

“暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。

2023-12-13 23:44:50 2324

原创【漏洞分析】DeDeCMS v5.7 SP2 正式版前台任意用户密码修改漏洞

织梦内容管理系统(DedeCms)以简单、实用、开源而闻名，是国内最知名的 PHP 开源网站管理系统，也是使用用户最多的 PHP 类 CMS 系统，在经历多年的发展，目前的版本无论在功能，还是在易用性方面，都有了长足的发展和进步，DedeCms 免费版的主要目标用户锁定在个人站长，功能更专注于个人网站或中小型门户的构建，当然也不乏有企业用户和学校等在使用该系统。2018 年 1 月 10 日，锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节。

2023-12-11 13:42:20 2520 1