- 博客(13)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 洛马七步杀
简介由 Lockheed Martin 开发的 Cyber KillChain®框架是 Intelligence DrivenDefense®模型的一部分,用于预防和识别网络入侵活动。 该模型确定攻击者必须完成什么才能实现其目标。Cyber KillChain 的七个步骤提高了攻击的可视性,并丰富了分析师对于攻击者的战术,技术和流程的理解。介绍...
2021-10-10 17:24:47
695
原创 域渗透记录
环境搭建环境说明DC:•IP:10.10.10.10•OS:Windows 2012WEB:•IP1:10.10.10.80•IP2:192.168.111.80•OS:Windows 2008•网站搭建:Weblogic 10.3.6 MSSQL 2008 注意登录de1ay域,登录名为de1ay.com\administrator 密码为1qaz@WSXPC:•IP1:10.10.10.201•IP2:192.168.111.201•OS:Windows 7攻击机:•IP:192.1
2021-09-15 18:01:28
280
原创 Typecho-CMS反序列化任意代码执行漏洞分析和复现
Typecho-CMS反序列化代码审计漏洞的入口出现在install.php//判断是否已经安装if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) { exit;}// 挡掉可能的跨站请求if (!empty($_GET) || !empty($_POST)) {
2021-08-10 21:18:19
607
原创 Struts2-057 远程代码执行漏洞
Struts2-057 远程代码执行漏洞漏洞原理Struts2 处理request请求过程原理来源i春秋。触发漏洞的关键点就在于可以修改struts2的配置文件,使得namespace变得可控,进而形成OGNL注入,执行任意代码.
2021-07-26 15:11:18
305
原创 i春秋漏洞学习
Node.js 模块 node-serialize 反序列化任意代码执行漏洞**原理:**将非法数据传入unserialize()函数,通过立即调用函数表达式(IIFE)的JS对象,可以实现任意代码执行。https://www.seebug.org/vuldb/ssvid-92674var express = require('express');var cookieParser = require('cookie-parser');var escape = require('escape-h
2021-07-07 15:13:44
188
原创 攻防世界-杂项-入门
题目 give_you_flag思路:分析图片格式为gif,是个动图.打开发现图片出现二维码。但是太短了,需要用到stegsolve,fram browser。截取需要的图片。研究图片发现二维码缺少三个小方块,而这些小方块被称为定位图案,用于标记二维码矩形的大小,用三个定位图案可以标识并确定一个二维码矩形的位置和方向。补全即可活动flag.题目坚持60秒下载下来是个jar游戏,一开始是思路是想破解游戏,发现思路不对,jar可解压,打开里面的class文件,找到PlaneGameFrame文件,打开即
2021-07-06 10:03:44
145
原创 程序设计入门-java
一,第一个程序1.1变量定义变量<类型><变量名>,关键字final常量。1.2基本数据类型int,整数类型。float,浮点类型。1.3运算符优先级1.4关系运算==:相等!=:不相等:大于=大于或等于<:小于<=小于或等于优先级:和!=优先级比其他低,而连续的关系运算是从左到右进行的5>36>4判断两个浮点数。System.out.println(Math.abs(a-b)<1e-6);1.5判
2021-05-25 20:05:05
942
原创 数据库基本原理(部分)-东南大学
数据库2.3传统数据库的优缺点缺点关系模式:语义不清,支持的数据类型少2.4 ER DataModelEntity 在现实世界可以区分的对象,一个实体可用用一组属性描述;EntitySet 相似实体集。特点实体集里面的实体具有一样的属性,每一个实体集都有key,每一个实体都有域2.5 ER Relationship联系 两个或多个实体发生的关系。联系集 所有同类联系产生的集合。2.6 ER 基数比约束关系可被区分为:1:1,1:N和M:N这些被称为基数比约束2.7 E
2021-05-20 09:55:34
341
原创 DVWA靶场练习
DVWA学习笔记SQL注入完全相信用户输入,没有对用户输入进行过滤。发现SQL注入后,union select 1,datebase()# 爆破库union select 1,table_name from information_schema.tables where table_name='数据库名#爆破行'union select 1,column_name from information_schema.tables where table_name='列名'#爆破列union se
2021-03-16 09:39:20
907
1
原创 Pycharm社区版安装Django并完成Python入门到实践Django实验
安装流程首先,随便打开一个项目,然后在pycharm界面的左下角有Terminal终端的图标,点开。在命令行里进入想要的目录,我进的是cd C:\Users\yasuo\Desktop\py建立虚拟环境,在这个目录下输入python -m venv ll_env激活虚拟环境,ll_env\Scripts\activate 关闭环境 deactivate更新环境ll_env\scripts\python.exe -m pip install --upgrade pip安装 Django pip
2021-01-29 17:19:08
413
原创 kali 安装postgresql问题。
第一次报错Unable to locate package 解决办法 sudo apt-get update 更新下载。第二次报错使用make install 命令提示没有权限创建文件夹 解决办法 sudo make install
2020-12-16 21:59:26
1647
原创 Oracle学习笔记
##1、instr()函数的格式 (俗称:字符查找函数)格式一:instr( string1, string2 ) // instr(源字符串, 目标字符串)格式二:instr( string1, string2 [, start_position [, nth_appearance ] ] ) // instr(源字符串, 目标字符串, 起始位置, 匹配序号)解析:string2 的值要在string1中查找,是从start_position给出的数值(即:位置)开始在string1
2020-11-02 10:07:57
105
原创 谭浩强c作业
第三章1.用到pow()函数2.利用题目给的公式解答3.利用对数函数lg(P)表示以p为底底对数4.(1)转换说明%c,将整数值转为对应的ascii码.%d转为整数。4.(2)char 类型字符有效范围为0-1275.scanf()按个读取缓冲区,回车从数字输入转为字母输入时要注意中间不要留有空格,否则会被读取。6putchar();7简单计算;8char类型占...
2020-04-18 19:39:02
171
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人