NCNIPC
文章平均质量分 63
NCNIPC实验部分参考
梅苑安全&学术
流连忘返12312
展开
-
NCNIPC-靶场介绍&&Django SQL注入(CVE-2021-35042)
NCNIPC-中国科学院研究生院国家计算机网络入侵防范中心中心以保护我国网络空间安全为综旨,主要从事黑客防范技术的研究,占领网络安全的技术制高点,作为国家计算机网络与信息安全管理办公室(以下简称国信安办)的依靠力量,承担和协调国内各种黑客事件的防范处理,协助国信安办完成关键部分的应急处理任务,协助解决社会上的应急/救援组织难以解决的网络安全疑难问题,是国家计算机网络应急处理体系中心的重要部门。中心以保护我国网络空间安全为综旨,主要从事黑客防范技术的研究,占领网络安全的技术制高点,作为国家计算机网络与信息原创 2022-03-01 23:20:09 · 2308 阅读 · 0 评论 -
安全四大顶会
USENIX 其实是一个计算机类会议的总称,详细会议列表可以看这里,而USENIX Security只是USENIX中的安全会议,并且USENIX Security会议涵盖的安全领域也非常多,包含:二进制安全、固件安全、取证分析、Web安全、隐私保护、恶意分析等。会议的论文可以通过网站的链接看到历年的论文记录,当然这个论文库是在acm数据库,或者使用dblp数据库进行搜索,一般都可以搜到PDF。安全界有四大著名顶级会议,简称:S&P、CCS、Security、NDSS。一、USENIX Security。原创 2022-10-20 12:56:25 · 2648 阅读 · 0 评论 -
NCNIPC--实验部分参考--Grafana 8.x 插件模块目录穿越漏洞(CVE-2021-43798)
Grafana 8.x 插件模块目录穿越漏洞(CVE-2021-43798)实验简介Grafana是一个开源的度量分析与可视化套件,这个漏洞出现在插件模块中,这个模块支持用户访问插件目录下的文件,但因为没有对文件名进行限制,操作者可以利用…/的方式穿越目录,读取到服务器上的任意文件。此漏洞的利用需要框架中已经下载了插件,没有插件的话无法进行漏洞利用。需要同学提前了解一下burp的基本用法。实验目的对CVE-2021-43798有一定的了解熟练使用burp的重发模块对linux路径有一定的了解原创 2022-03-17 09:48:26 · 4944 阅读 · 0 评论 -
NCNIPC--皮卡丘web靶场SQL注入(字符型注入)
我们打开我们的靶场,我们带着同学简单练习一个字符型注入(get),点击SQL-Inject,点击字符型注入(get),我们直接就测试一下输入1’如图所示。点击“查询”按钮后,回显出报错了,报错信息为“You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘‘1’’’ at line 1”。这原创 2022-03-16 20:15:24 · 5102 阅读 · 0 评论 -
皮卡丘web靶场的搭建介绍
NCNIPC–皮卡丘web靶场的搭建介绍书籍中使用皮卡丘web靶场做web漏洞分析,开源源代码链接如下https://github.com/zhuifengshaonianhanlu/pikachu一、下载源代码从互联网上下载源代码到本地,准备下一步搭建二、搭建靶场我这里为了方便部署在window 10系统上,使用一种较为快捷的部署方式,使用小皮面板进行快速搭建。小皮面板安装网址大家可以去百度一下,傻瓜式安装非常方便,也是大家以后进行代码审计要用到的快捷部署工具。开启小皮的WAMP环境(原创 2022-03-15 15:42:28 · 8140 阅读 · 2 评论 -
NCNIPC--实验部分参考--Apache Shiro权限绕过复现(CVE-2020-11989)
Apache Shiro权限绕过复现(CVE-2020-11989)Apache Shiro 1.5.3之前的版本中,当将Apache Shiro与Spring动态控制器一起使用时,精心编制的请求可能会导致绕过身份验证 本实验需要大家提前了解一下基本的身份验证绕过方法。实验目的复现CVE-2020-15778了解CVE-2020-15778漏洞,能够未授权访问到flag实验流程找到漏洞点精心编码进行绕过找到设置好的flag实验环境靶机地址:http://10.0.0.157:8原创 2022-01-23 18:42:31 · 2488 阅读 · 0 评论