重邮校内实习day10

最新推荐文章于 2024-10-13 21:29:35 发布
最新推荐文章于 2024-10-13 21:29:35 发布
阅读量153 收藏 3
点赞数 3
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62430809/article/details/142059643
版权

1.复现上课的提权案例


2.总结Linux内核提权利用步骤(从内网信息收集到提权成功的思路)

1.信息收集

通过nmap或其他扫描工具收集目标系统的详细信息

如,查看发行版本:

cat /etc/issue     或  cat /etc/*-release  

查看内核版本信息:

uname -a  

记录下内核版本,以便后续查找相关漏洞。

2.漏洞搜索

使用searchsploit工具查找与当前内核版本相关的漏洞:

searchsploit linux <内核版本>  

找到可利用的漏洞脚本(如脏牛漏洞脚本)。

3.上传漏洞利用脚本

将找到的漏洞利用脚本(如40839.c)上传到目标系统。

4.编译脚本

在反弹的shell中编译上传的脚本

5.运行脚本

运行编译后的脚本,得到可用信息

6.切换用户

如果提权成功,可以使用su命令切换到root用户:


3.总结Linux常用命令,10个以上

1.查看内核和操作系统版本

2.查看MAC地址,硬件地址

3.查看系统的后台任务

4.测试当前主机是否能与某网站(ip地址)进行联通

5.更改当前目录

6.创建空文件或更新文件的时间戳

7.使用vi写入文本

输入完成后就可esc,然后输入:wq进行保存并退出

8.查看文件内容

9.查看当前谁在使用该主机

10.清空终端上的所有内容

Cruel522
关注
重邮校内实习day6
qq_62430809的博客
09-04 964
1.CSRF是跨站请求伪造;XSS是跨域脚本攻击。2.CSRF需要用户先登录网站A,获取cookie;XSS不需要登录。3.CSRF是利用网站A本身的漏洞,去请求网站A的api;XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。1.确定目标网站并创建钓鱼链接。2.攻击者设法诱使受害者访问钓鱼链接。3.受害者访问钓鱼链接。4.攻击者返回一个页面,用户浏览器自动执行JS代码向目标服务器发送POST请求表单。5.浏览器将预先填好的表单,以及表明用户身份的cookie发送给服务器
重邮校内实习day4
qq_62430809的博客
09-01 1131
1.文本解析:浏览器首先会解析HTML和XML文档结构,这一步是HTML解析器来完成的。解析器会根据文档类型定义(DTD)或HTML5的规范来构建DOM(文档对象模型)树。2.DOM构建:在HTML解析的同时,浏览器会开始构建DOM树。DOM树是一个结构化的文档表示,用以展示HTML文档的结构。3.CSS解析:浏览器接着会解析页面中的CSS样式代码。这一步是为了理解页面元素应该如何布局和显示。4.渲染树构建:在DOM和CSS规则都解析完成之后,浏览器会产生一个渲染树(Rendering Tree)。
重邮校内实习day7
qq_62430809的博客
09-12 760
如:shell.php. ———-文件名后加点‘.’ ,shell.php ———-文件名后加括号空格,shell.php::$DATA ———-文件名后加::$DATA。在Nginx的服务器环境下,成功上传一张名为test.jpg的文件后,访问/test.jpg/test.php时服务器会直接将test.jpg作为php文件进行解析。.user.ini文件里的意思是:所有的php文件都自动包含指定的文件,这个的绕过方式前提是上传目录下要有可执行的php文件。1.jpg时,IIS会以asp文件来解析。
重邮校内实习day5
qq_62430809的博客
09-03 731
SQL注入原理SQL注入,也称SQL注码,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到破坏或是入侵。SQL注入常用函数及含义1.UNION: 用于将多个SELECT语句的结果合并在一起。攻击者可以利用这个函数从其他表中提取数据。2.SELECT: 用于从数据库中查询数据。攻击者可以通过构造恶意的SELECT语句来获取敏感信息。
重邮校内实习day8
qq_62430809的博客
09-12 358
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。原理通常源于应用系统设计中提供给用户的远程命令操作接口,例如路由器和防火墙的Web管理界面。若设计者未进行严格的安全控制,攻击者可能通过这些接口提交意外命令,从而控制后台服务器。此外,自动化运维平台也可能出现远程系统命令执行漏洞,因为用户输入可能被作为代码执行。为防止此类漏洞,必须对API接口的输入内容进行严格判断,实施白名单策略是有效的方法。利用条件。
重邮校内实习day11
qq_62430809的博客
09-12 127
(1)事件预警/发现:通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。(2)事件确认:事件预警后需要进行核实,确认事件的具体情况,确定事件的类型、影响范围、紧急程度等。(3)事件分类:根据事件的类型和影响程度对事件进行分类,并作出响应计划。(4)紧急响应:根据响应计划,启动紧急响应模式,调集相关的人员和资源,进行紧急处理和控制事件。(5)事件调查:对事件进行深入分析,找出事件的成因,并根据分析结果调整相关防护策略和措施,降低风险。
重邮校内实习day9
qq_62430809的博客
09-12 70
1.安装CS,写安装步骤 2.总结用户组和用户、windows信息搜集命令 3.总结手工提权思路,拿土豆提权 4.用CS插件提权,提虚拟机或本地都行 加分项:MSF提权
重邮校内实习day3
qq_62430809的博客
08-30 844
最后就可以使用xray开启监听:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output 1.html。输入命令进行被动扫描:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output test.html。Xray完成扫描后,将处理后的请求(可能已修改或添加了额外的测试数据)发送给目标Web应用程序,并接收来自服务器的响应。
重庆邮电大学大学物理(上)考试题库
12-04
《重庆邮电大学大学物理(上)考试题库》涵盖了物理学中的多个核心概念,包括质点运动、刚体运动、光的衍射、折射、光栅现象以及热力学第一定律等重要主题。这些知识点不仅是大学物理课程的基础,也是理解自然界规律...
2019-2021年重庆邮电大学602数学分析考研真题
09-06
《2019-2021年重庆邮电大学602数学分析考研真题》这份资源,是针对重庆邮电大学602数学分析课程的考研复习的重要参考资料。数学分析作为高等数学的重要分支,它涵盖了实数、极限、微积分、级数、多元函数等核心概念...
2021年重庆邮电大学802数据结构考研真题
09-06
2021年重庆邮电大学802数据结构考研真题,作为一门研究生入学考试的试题,无疑涵盖了这个领域的核心概念和重要算法。 首先,数据结构主要包括线性结构、树形结构、图结构以及散列结构等基本类型。线性结构如数组、...
重庆邮电大学801信号与系统历年真题(2008-2020).rar
08-06
重庆邮电大学作为国内知名的工科院校,其801信号与系统课程的历年真题无疑成为了众多考生备考的重要参考资料。这个名为“重庆邮电大学801信号与系统历年真题(2008-2020).rar”的压缩包文件,包含了从2008年至2020...
2017-2021年重庆邮电大学806材料力学考研真题
08-29
对于准备重庆邮电大学806材料力学考研的学生来说,掌握好这一科目的知识至关重要。2017年至2021年的考研真题集是备考过程中宝贵的参考资料,能帮助考生了解考试的题型、难度以及重点。 首先,材料力学的核心概念...
Linux 命令:每日一学,一文说尽打包压缩工具实践
WeiyiGeek 唯一极客IT知识分享
10-12 691
[知识是人生的灯塔,只有不断学习,才能照亮前行的道路]文章目录:0x00 前言简述前面,我们介绍了Linux中文件查找find命令以及与之联用最勤的xargs命令,作者以一个个简单的实例给各位看友展示了在运维中两个命令的使用技巧,今天我们再来介绍一些打包、压缩解压等相关命令。在 Linux 系统中,我们经常需要使用到压缩和解压文件,使用压缩文件可以减少文件大小,从而减少存储空间,以及在网络传输...
linux逻辑卷扩容增加空间
最新发布
放荡不羁爱自由
10-13 255
背景是使用vmware虚拟机安装的centos系统,在上面安装了mysql数据库为了测试千万级表模拟数据然后磁盘不够用了需要扩容。
Linux从小白到高手》综合应用篇:详解Linux系统调优之内存优化
qq_45732829的博客
10-11 968
内存是影响Linux性能的主要因素之一,内存资源的充足与否直接影响应用系统的使用性能。内存调优的主要目标是合理分配和利用内存资源,减少内存浪费,提高内存利用率,从而提升系统整体性能。
linux----相对和绝对以及特殊路径
fuvuof的博客
10-11 211
绝对路径:以根目录为起点,在cd命令中的格式为:cd /##/##/目标目录。#相对路径:以当前目录为起点,在cd命令中的格式为:cd ##/##/目标目录。
Linux动静态库
2301_76197086的博客
10-13 989
详解Linux系统中的动静态库生成和使用,以及可执行程序运行时与动态库进行动态链接的原理
Linux 内核清理缓存命令
luoye_369的博客
10-11 315
一、问题描述log:
重庆邮电大学常用数据接口API详解:功能与使用指南
重庆邮电大学常见数据接口API是一系列可供外部系统或应用程序使用的程序,它们允许通过标准接口与重庆邮电大学(CQU)的内部系统进行数据交互。这些API涉及多个关键功能,包括但不限于学生的健康打卡、个人信息查询...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值