实训Day8

最新推荐文章于 2024-09-13 19:40:25 发布
最新推荐文章于 2024-09-13 19:40:25 发布
阅读量275 收藏 4
点赞数 3
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65546115/article/details/142063425
版权

一、在vps安装docker和docker-compose

二、上课涉及的vulhub中的漏洞,全部复现,同时说明漏洞成因

(一)、Tomcat弱口令

在vulhub靶场启动Tomcat,并在浏览器中访问

登录

上传shell.war文件

上传成功后可以看见变化

(二)、Weblogic弱口令

在vulhub靶场启动weblogic

用弱口令weblogic:Oracle@123 ,登录

对http://120.26.231.217:7001/hello/file.jsp?path=security/SerializedSystemIni.dat抓包,读取到的那一串乱码,是密钥

对http://120.26.231.217:7001/hello/file.jsp?path=config/config.xml抓包,在响应信息中找到密钥

上传文件shell.war

(三)、Apache HTTPD 换行解析漏洞

在vulhub靶场启动Apache HTTPD

在本机访问

上传一句话木马

在文件名后加x0a

成功上传

三、总结RCE漏洞的原理和利用条件及解决方案

(一)、漏洞原理

1.不安全的输入

用户在输入或者在处理敏感操作时未能进行严格的权限控制。

2.危险函数的使用

应用程序中使用了不安全的函数或方法,如eval(), system(), exec(), shell_exec(), popen(), proc_open(), pcntl_exec()等,这些函数能够执行系统命令或解释执行代码。

3.设计缺陷

应用程序设计本身存在缺陷,例如提供了宽松的命令执行接口或文件上传功能,而且没有对这些进行安全限制和过滤。

4. 反序列化漏洞

许多RCE漏洞源于第三方软件或者系统应用中的已知漏洞,这些应用在处理反序列化数据时可能会存在安全问题。

(二)、利用条件

1.存在的漏洞,有的应用程序中会有RCE漏洞

2.不安全的函数,有的应用程序中存在能够执行系统命令或解释执行代码的函数,如果应用程序不当地使用了这些函数或方法,并且没有被限制,就可能导致RCE漏洞的利用。

3.安全措施不完善

(三)、解决方案

1.对用户输入的数据进行严格验证和过滤,防止恶意代码的注入、防止攻击者输入插入恶意代码。

2.避免使用危险函数。

3.及时更新应用软件,安装补丁。

4. 采用隔离技术来限制代码执行的环境。

896
关注
项目实训day8
03-04
在“day8”这个压缩包文件中,可能包含了实训项目这一天所涉及到的代码、模型、日志或其他相关资料。这些资料可以帮助我们进一步理解如何在实际项目中运用PyTorch进行深度学习模型的构建和训练。通过学习和实践这些...
燕山大学2016级燕软实训Day2资料整理
07-16
总结来说,"燕山大学2016级燕软实训Day2资料"可能涵盖了JavaWeb基础,如Servlet、JSP、JavaBean的使用,以及MVC模式的理解,可能还涉及了数据库操作、服务器配置等内容,这些都是构建JavaWeb应用程序的关键知识点。...
实训学习—day01.md
08-03
适合刚开始学Java的同学啊~我会连续更新,本人也在校外实训每天学习,学习笔记拿出来分享,持续更新!有错误和补充就太好啦!
2239实训代码.zip
05-22
8. **课程结构**:"Day01"、"Day02"等目录可能是按照教学日程划分的,反映了实训课程的进度和主题,可能涵盖了从基础知识到进阶技能的学习路径。 9. **编码规范**:实训过程中,学生可能会被教导遵循一定的编码规范...
SQL sever 实训
06-28
17240671-13.3实训.sql [?灜? sql ?`?-2018.4.18 USE master GO --单元五 创建于管理数据库 --创建数据库Sale CREATE DATABASE sale ON PRIMARY (NAME=sale, FILENAME='C:\\sale.mdf', SIZE=4MB, MAXSIZE=20MB...
STM32学习笔记(二、初识stm32单片机)
tommorrowwill的博客
09-10 729
首先stm32是意法半导体公司(ST)使用ARM公司的Cortex-M为核心生产的32位的单片机。其中,ST---意法半导体公司,即SOC厂商。M---为Microelectronics的缩写,即微型处理器。32---表示控制器为32位的。103---表示F系列的子系列。
【C++学习笔记】数组与指针(三)
qq_38196449的博客
09-09 1171
0(空字符)
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 129
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 796
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
经验笔记:Web 浏览器存储手段
qq_45831414的博客
09-10 808
以上就是使用 IndexedDB 的基本步骤。IndexedDB 提供了强大的数据存储能力,并且可以通过索引来优化数据检索性能。在实际应用中,可能还需要处理更复杂的场景,比如数据迁移、错误处理等。务必确保你的代码能够妥善处理各种异常情况。
C++学习笔记----7、使用类与对象获得高性能(一)---- 书写类(1)
最新发布
weixin_71738303的博客
09-13 837
public:private:第一行指出这是一个叫做spreadsheet_cell的模块的定义。每一类的定义都是以class关键字开始后接类的名字。如果类定义在一个模块中,该类一定要import进来才可见,定义时一定要在class关键字之前加上export。类的定义就是声明并且以分号结束。类的定义通常在一个其名字的文件中。例如,SpreadsheetCell类定义在一个叫做SpreadsheetCell.cppm的文件中。有些编译器要求使用特定的扩展名;有些则不要求。
GS-SLAM论文阅读笔记--MM-Gaussian
qq_45795134的博客
09-10 1264
传统的SLAM方法往往受到地图表示的限制,如点云,surfel和voxel,它们只能以固定的分辨率重建地图。这一限制阻碍了对场景复杂纹理的捕捉,并阻碍了SLAM实现合成新视点等功能.此外,户外场景由于其无界特性,带来的挑战呈现出特别的复杂性。现存方法通常是基于RGB-D或单目相机。单目相机中深度数据的缺失会导致三维高斯分布的不准确。同时,RGB-D相机捕获的深度信息范围有限,使其在广阔的户外场景中的使用变得复杂。
sheng的学习笔记-AI-规则学习(rule learning)
coldstarry的专栏
09-09 1188
机器学习中的“规则”(rule)通常是指语义明确、能描述数据分布所隐含的客观规律或领域概念、可写成“若……,则……”形式的逻辑规则。​“规则学习”(rule learning)是从训练数据中学习出一组能用于对未见示例进行判别的规则。一条规则形如:在数理逻辑中“文字”专指原子公式(atom)及其否定。与神经网络、支持向量机这样的“黑箱模型”相比,规则学习具有更好的可解释性,能使用户更直观地对判别过程有所了解。另一方面,数理逻辑具有极强的表达能力,绝大多数人类知识都能通过数理逻辑进行简洁的刻画和表达。
【学习笔记】SSL证书之前向保密
Taki_UP的博客
09-10 690
本篇介绍了密码学中前向保密(Forward Secrecy)的相关内容
资料分析笔记(花生)
Moliay的博客
09-07 1029
求和题目中,若四个选项中后两位都不同,则可以只计算后两位的数值,锁定答案。之所以一般定为两位,也是进行一定的验证,只计算一位的数值出错难以察觉,除非直接不在选项中;其中注意,若数据有小数,而答案是整数或者精确度更低的话,或者单位从万变成了亿这类,可能会出现四舍五入等,不适合用尾数确定答案。本质上是直接计算各权重级的和再相加,把多位数的相加转化为个位数的相加,节省了抄数的时间避免了抄错的风险。观察选项只需要比较14,14,17,18这四个年份,其中14年的增长量最大且基期最小,则锁定A。
关于transformer的笔记。什么是Multi Head Cross Attention?
985小菜鸡
09-09 732
Multi-Head Cross Attention 是一种用于不同模态或输入来源之间进行信息交互的注意力机制。它通过利用一个来源的查询与另一个来源的键和值来计算注意力分布,捕捉输入之间的相关性。Attention 机制本质上是让模型在处理输入数据时能够“聚焦”在重要的信息上。想象你在阅读一篇文章,虽然你一次看一整句话,但你可能会更注意某些关键字或短语。这就是 Attention 的作用,它让模型能够选择性地关注输入数据中的重要部分。
【数学分析笔记】第3章第2节 连续函数(1)
随手写写
09-08 885
3. 函数极限与连续函数 3.2 连续函数 3.2.1 一点连续 从分析上讲,f(x)f(x)f(x)在x0x_{0}x0​点连续:当x→x0x\to x_{0}x→x0​,f(x)→f(x0)f(x)\to f(x_{0})f(x)→f(x0​) 【定义3.2.1】设f(x)f(x)f(x)在x0x_{0}x0​的某个邻域中有定义,且成立lim⁡x→x0f(x)=f(x0)\lim\limits_{x\to x_{0}}f(x)=f(x_{0})x→x0​lim​f(x)=f(x0​),则称f(x)f(x
经验笔记:JavaScript 中的循环
qq_45831414的博客
09-10 523
循环是编程中不可或缺的一部分,用于重复执行一段代码直到满足某个条件。JavaScript 支持多种循环结构,每种结构都有其适用场景。本文将详细介绍 JavaScript 中的循环结构及其用法,并提供一些实践中的应用案例。
Java重修笔记 第五十一天 泛型
Code___slave的博客
09-10 383
1. 在类名后面跟上 <泛型列表> 表示该类所使用的使用泛型,具体是什么类型在编译的时候确定2. 可以在属性定义时使用3. 也可以当做返回值E s;V v;this.s = s;return s;this.s = s;
c语言简单万年历实训报告
06-02
以下是一个简单的C语言万年历的实训报告,供您参考: 一、实训目的 本次实训的主要目的是通过编写一个简单的C语言万年历程序,巩固C语言基本语法和编程思想,提高编程能力和解决问题的能力。 二、实训要求 1、能够使用C语言基本语法和控制语句编写程序。 2、能够使用数组来存储和操作数据。 3、能够使用函数来实现模块化编程。 4、能够使用指针来操作内存中的数据。 5、能够使用文件来读取和写入数据。 三、实训内容 1、程序功能 本程序实现了一个简单的万年历功能,可以通过输入年份和月份来显示该月的日历。 2、程序实现 以下是本程序的主要代码实现: ```c #include <stdio.h> // 判断是否为闰年 int is_leap_year(int year) { if ((year % 4 == 0 && year % 100 != 0) || year % 400 == 0) { return 1; } else { return 0; } } // 获取某个月份的总天数 int get_days(int year, int month) { int days[] = {31, 28 + is_leap_year(year), 31, 30, 31, 30, 31, 31, 30, 31, 30, 31}; return days[month - 1]; } // 获取某个日期是星期几 int get_weekday(int year, int month, int day) { if (month == 1 || month == 2) { year--; month += 12; } int c = year / 100; int y = year % 100; int w = y + y / 4 + c / 4 - 2 * c + 26 * (month + 1) / 10 + day - 1; w = (w % 7 + 7) % 7; return w; } // 显示日历 void show_calendar(int year, int month) { int days = get_days(year, month); int weekday = get_weekday(year, month, 1); printf(" 日 一 二 三 四 五 六\n"); int i; for (i = 0; i < weekday; i++) { printf(" "); } for (i = 1; i <= days; i++) { printf("%2d ", i); if ((weekday + i) % 7 == 0) { printf("\n"); } } if ((weekday + days) % 7 != 0) { printf("\n"); } } int main() { int year, month; printf("请输入年份:"); scanf("%d", &year); printf("请输入月份:"); scanf("%d", &month); if (month < 1 || month > 12) { printf("月份输入错误!\n"); return 1; } printf(" %d年%d月\n", year, month); show_calendar(year, month); return 0; } ``` 四、实训总结 通过本次实训,我学会了如何使用C语言来编写一个简单的万年历程序,巩固了C语言基本语法和编程思想,加强了对函数、数组、指针、文件等概念和用法的理解,提高了编程能力和解决问题的能力。同时,我也意识到在编程过程中需要注重代码的规范、可读性和可维护性,这对于日后的开发工作非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值