- 博客(12)
- 收藏
- 关注
原创 【Centeros7中 发现 ip addr 无ip地址】——不踩坑指南
使用Centeros7中 发现 ip addr 无ip地址(已解决)原因:在CentOS系统上,目前有NetworkManager和network两种网络管理工具。如果两种都配置会引起冲突,而且NetworkManager在网络断开的时候,会清理路由,如果一些自定义的路由,没有加入到NetworkManager的配置文件中,路由就被清理掉,网络连接后需要自定义添加上去。1.将networkmanager服务停了2.重启网卡,就ok了#查看所有已安装服务。
2023-02-15 09:57:13 383
原创 【mysql反弹shell】
metasploit已经有针对该方式的利用代码,原理还是一样生成mof文件,只是metasploit中可以使用到反弹技术,就不用额外添加用户,前提是对方服务器允许访问公网。
2023-02-10 16:19:26 887
原创 showdoc文件上传-vulfocus/showdoc-cnvd_2020_26585:latest 漏洞复现实战
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。名称: vulfocus/showdoc-cnvd_2020_26585:latest。使用webshell工具连接,在/tmp目录下存在flag。api_page存在任意文件上传.
2022-12-13 16:44:36 413
原创 【指纹识别自力更生+kali-whatweb指纹识别+云悉我不配】
whatweb可识别web技术,包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库,Web服务器和嵌入式设备等。它有超过900个插件,每个插件都能识别不同的东西。Whatweb还可以识别版本号,电子邮件地址、账户ID、Web框架模块,SQL错误等。云悉web指纹识别系统越来越卷了,注册邀请码也太难得了吧,所以在这么恶劣的环境中,我们安全白帽子要自立更生,掌握kali-whatweb指纹识别,拒绝卷环境,从我做起。
2022-12-13 16:13:13 1091
原创 【rpcbind漏洞111端口入侵实战指南--关注紫灵小姐姐不踩坑】
该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB),除非进程崩溃,或者管理员挂起/重启rpcbind服务,否则该内存不会被释放。最近扫描一个内网的ip,发现有一个不常见的端口开着,服务是rpcbind,上网一查还真是有漏洞。使用metasploit(msf)验证漏洞。也可以使用命令查看攻击模块去利用该漏洞。111端口rpcbind漏洞。
2022-11-07 17:34:00 5656 2
原创 【Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】
1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过。目前不是很明白这个漏洞如何去利用,有无大佬给我解释下,是指所有的接口都可以通过这种方式绕过认证吗?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。1)直接访问发现404。
2022-10-24 10:07:56 598
转载 安全设备默认口令
联想网御防火墙PowerV administrator administrator。网神SecFox运维安全管理与审计系统 admin!深信服NGAF下一代应用防火墙(NGAF V4.3) admin admin。深信服ipsec-VPN (SSL 5.5) Admin Admin。深信服WAC ( WNS V2.6) admin admin。深信服AF(NGAF V2.2) admin sangfor。深信服负载均衡 AD 3.6 admin admin。
2022-10-20 17:14:04 1974
原创 【fastjson 1.2.47漏洞复现实战(vulfocus在线靶场CNVD-2017-02833)——关注紫灵小姐姐不踩坑】
fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。...............
2022-08-28 22:21:33 1053
原创 python3_实例学习
2.数字求和m,n = map(float,input().split())sum1 =m+nprint(sum1)3.平方根‘’’平方根,又叫二次方根,表示为〔√ ̄〕,如:数学语言为:√ ̄16=4。语言描述为:根号下16=4。以下实例为通过用户输入一个数字,并计算这个数字的平方根:‘’’n = float(input())m = n**0.5print(’%0.3f’%m)import cmathn = int(input())m = cmath.sqrt(n)prin
2022-01-02 22:31:53 293
原创 不踩坑指南—android 9.0 安装edxposed框架
yami的安装经历—android 9.0 安装xpose框架资源准备运行如下资源准备1.确保已经安装Magisk Manager, 版本不低于V17.0。https://github.com/topjohnwu/Magisk/releases2.在Magisk Manager里安装 Riru-core,版本不低于 v10 。https://github.com/RikkaApps/Riru/releases3.在Magisk Manager里安装 EdXposed。https://githu
2021-04-20 15:46:25 4722 6
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人