摘要:
Rsync未授权访问 Rsync简介 rsync,remote synchronize顾名思意就知道它是一款实现远程同步功能的软件,它在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息。 rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法,而且可 阅读全文
摘要:
参考文章:https://www.cnblogs.com/Heroge/p/12459762.html 需要下载Typora和dotnet Typora下载链接:https://www.typora.io/ .donet安装下载:https://dotnet.microsoft.com/learn/ 阅读全文
摘要:
Vulnhub DC-2 靶机 信息搜集 访问web端发现访问不了,可以观察到相应的URL为域名而不是IP,需要在hosts文件种添加一条DNS记录。 host位置:C:\Windows\System32\drivers\etc 格式:192.168.124.151 dc-2 Nmap扫描结果: r 阅读全文
摘要:
一、信息收集 1.1 环境 kali : 192.168.124.141 DC-1 : 192.168.124.150 1.2 nmap进行扫描 :nmap -sV 192.168.124.150 IP : 192.168.124.150 PORT STATE SERVICE VERSION 22/ 阅读全文
摘要:
激活步骤:https://www.jianshu.com/p/953c1517e436 激活码:https://www.xitongzongcai.com/jihuo/40843.html 阅读全文
摘要:
一、XML外部实体注入介绍 1.1 XXE简介 XML外部实体注入(XML External Entity Injection)也就是人们(mian shi guan )常说的XXE啦,见名知意,就是对于不安全的外部实体进行处理时引发的安全漏洞 1.2 XXE可以做什么? 读取本地文件 端口探测 . 阅读全文
摘要:
一、关于冰蝎 1.1 简单介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 由于通信流量被加密,传统的 WAF、ID 阅读全文
摘要:
一、关于SSRF 1.1 简介: SSRF(Server-Side Request Forgery)服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能 阅读全文
摘要:
背景: 准备在vulhub复现weblogic反序列化漏洞时报错,环境加载失败准备删除weblogic镜像时报错: unable to delete 7d35c6cd3bcd (must be forced) - image is being used by stopped container f6 阅读全文
摘要:
一、漏洞基本信息 S2-037官方公告 CVE编号:CVE-2016-4438漏洞名称:Struts(S2-037)远程代码执行漏洞发布日期:2016.615受影响的软件及系统:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用户 漏洞概述:Apache St 阅读全文