2023-7-28、29 文件监控和ssrf

最新推荐文章于 2024-06-22 12:45:10 发布
最新推荐文章于 2024-06-22 12:45:10 发布
阅读量28 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strider1123/article/details/132014624
版权

27晚上+28、29写了个文件监控的脚本,目前除了基本的监控只有自动删除新增文件和自动恢复被删文件的功能

这点ssrf是28号的,先发了,要不不知道要拖到啥时候,等明天把脚本和剩下的发了

ssrf

 进去之后是这样的

 让我们访问flag.php

 只能来自127.0.0.1

伪协议

 直接读试试

提示里说了伪协议,rce的时候应该学过,同时也说了在web目录下

 很多题都得跑源码里去看,不太理解

 端口扫描

进去了还是啥也没有,提示扫端口,咱也不知道怎么个扫法,照网上说的用bp抓:

 然后放上要爆破的地方

有效载荷选数值

 范围8000-9000

 最后开始攻击即可

 看到端口为8245

 post

发现了个flag.php,还有个框,输点啥试试

 跳走了,看看源代码

 啥也没有,回去看看那个的代码

 这debug是个啥玩意?看见key了,回去放里试试

 啥反应没有,不会了,去找教程

strider1123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈云上攻防 --SSRF 漏洞带来的新威胁
YDclub的博客
10-09 1460
前言 在《浅谈云上攻防——元数据服务带来的安全挑战》一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务;文中列举了2019年美国第一资本投资国际集团(Capital One Financial Corp.,下“Capital One公司”)信息泄漏的案例;我们内部也监测到过类似的事件:测试人员通过SSRF漏洞攻击元数据服务,并将获取到的AK信息存储到日志服务中,然后在日志服务中获取到了AK信息,最终通过获取到的AK信息控制了超过200台服务器。
CVE-2021-21975 VMware vRealize SSRF 漏洞复现
m0_56642842的博客
08-02 366
0x00 简介 vRealize Operations Manager是vmware官方提供的针对vmware虚拟化平台的一套运营管理解决方案,通过它可以看到整个虚拟化环境的整体运行情况,潜在风险,以及优化建议等,同时可以提供一些虚拟化运行配置、容量、优化建议等等报告。vRealize Operations Manager 提供跨物理、虚拟和云基础架构的智能运维管理以及从应用程序到存储的可见性。使用基本策略的自动化,操作团队实现关键过程的自动化并提高 IT 效率。利用从系统资源(对象)中收集的数据,vRea
深入分析 CVE-2023-44487 HTTP2 快速重置攻击对 Nginx 的影响
2401_84466336的博客
06-17 1208
最近安全圈公布了一个利用 HTTP/2 快速重置机制进行 DDoS 攻击的 0day 漏洞,,鉴于 HTTP/2 协议已经在 Internet 上广泛使用,所以该漏洞一经发布,在业界引起广泛关注。我们介绍过,雷池 WAF 使用 Nginx 作为其代理模式下的流量转发引擎,Nginx 已经在其官网介绍了。简单来说,Nginx 作为一款久经考验的,其本身就提供过了多种方式来缓解 DDoS 攻击。:保持默认配置 1000:保持默认配置 128需要说明的是,Nginx 1.19.7 及其之后版本是通过。
红队专题-漏洞挖掘代码审计-RCE-SSRF
aming小老弟
11-30 1295
可以进行批量存活扫描和目录扫描 ------>在好几个站下面发现web.zip备份文件。可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell。但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密。密码传入后,调用了CommFun.EnPwd进行了一次加密。某方法接收了两个参数,却只对一个参数进行了过滤。该方法需要提供绝对路径----->跟踪相关参数。
Web渗透-SSRF服务端请求伪造
WolvenSec的博客
06-22 873
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者利用漏洞服务器发送恶意请求的攻击方式。SSRF漏洞通常出现在服务器端的web应用中,应用允许用户提供的输入被服务器用来发起请求,而没有对输入进行充分的验证或限制。这使得攻击者可以构造恶意请求,访问内部资源或服务,甚至在某些情况下,控制服务器。
CVE-2021-21975 VMware vRealize Operations Manager SSRF漏洞
weixin_51387754的博客
11-04 499
漏洞简介 vRealize Operations Manager是vmware官方提供的针对vmware虚拟化平台的一套运营管理解决方案,通过它可以看到整个虚拟化环境的整体运行情况,潜在风险,以及优化建议等,同时可以提供一些虚拟化运行配置、容量、优化建议等等报告。vRealize Operations Manager 提供跨物理、虚拟和云基础架构的智能运维管理以及从应用程序到存储的可见性。使用基本策略的自动化,操作团队实现关键过程的自动化并提高 IT 效率。利用从系统资源(对象)中收集的数据,vRealiz
SpringCloud - Spring Cloud Netflix 之 Hystrix Dashboard仪表盘监控(九)
MinggeQingchun的博客
06-26 969
https://blog.csdn.net/MinggeQingchun/article/details/125308948https://blog.csdn.net/MinggeQingchun/article/details/125312594Hystrix 仪表盘(Hystrix Dashboard)是Spring Cloud的仪表盘组件,可以查看Hystrix实例的执行情况,支持查看单个实例和查看集群实例,但是需要结合spring-boot-actuator一起使用。Hystrix Dashboar
xxe漏洞--xml外部实体注入漏洞
LfanBQX的博客
05-19 472
XXE(XML External Entity Injection)是一种攻击技术,它允许攻击者注入恶意的外部实体到XML文档中。如果应用程序处理XML输入时未正确配置,攻击者可以利用这个漏洞访问受影响系统上的敏感文件或执行远程代码。XXE漏洞通常发生在解析XML数据时,没有禁用外部实体的加载。外部实体可以指向一个远程文件,如果没有适当的控制,攻击者可以利用这一点来获取敏感信息或执行攻击。w3school 在线教程。
威胁情报-telegram消息监控
白帽子佳奇的博客
06-20 982
一般需要监控的威胁情报来源包含以下几个方面:1、暗网论坛和交易网站2、黑客论坛3、聊天群组4、公共渠道而需要监控的内容大多都是0day情报、数据泄漏事件等,由于上述内容质量参差不齐,更有内容纯粹是诈骗,所以针对相关数据来源需要进行二次鉴别,并只能做为信息参考。此外,如果有相关情报产生,厂商也应第一时间进行排查,确定消息真伪,并做好防护。
104-web漏洞挖掘之SSRF漏洞1
08-03
总的来说,SSRF漏洞的防范和检测是一个持续的过程,需要开发者在设计和实现网络服务时充分考虑安全因素,对用户输入进行严格的校验和限制。同时,定期的安全审计和漏洞扫描也是确保系统安全的重要环节。
31-浅谈SSRF漏洞1
08-03
检测SSRF攻击的方法通常涉及监控日志,寻找异常的内网IP请求,尤其是连续且具有猜测性质的请求。此外,异常的响应信息或错误提示也可能暴露出SSRF的存在。 防御SSRF攻击,企业应采取以下策略: 1. 过滤并验证远程...
CVE-2021-26855
03-12
此外,监控网络流量和日志,识别异常的 WebDAV 请求,也是防止攻击的重要手段。 **总结** CVE-2021-26855 是一个严重威胁 Microsoft Exchange Server 安全性的漏洞,它通过 SSRF 攻击途径,让攻击者可以轻松地获取...
《安全参考》HACKCTO-201503-27
03-29
7. **扩展控制**:基于获取的敏感信息,攻击者能够进一步控制更多的服务器,包括Windows和Linux系统。通过对管理员登录日志的分析,甚至可以找到管理员使用的其他机器,从而获得更广泛的控制权。 #### 第二章 代码...
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
文件包含和ssrf的区别
03-06
文件包含和 SSRF 的区别在于,文件包含是指在程序中引用外部文件的过程,而 SSRF 是指攻击者利用漏洞,将服务器内部的请求发送到外部网络上。文件包含通常是由于程序员在编写代码时未对用户输入进行过滤或验证,而 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值