复制代码
上一页 1 ··· 4 5 6 7 8 9 10 11 12 13 下一页
2018年7月24日
19. CTF综合靶机渗透(十二)
摘要: 靶机说明: 靶机主题来自美剧《黑客军团》 本次靶机有三个flag,难度在初级到中级,非常适合新手训练学习,不需要逆向技术,目标就是找到三个key,并且拿到主机root权限。 渗透过程: 本次靶机已经导入VM,采用的是桥接模式, 攻击机用的是parrot linux+windows10,攻击机IP为: 阅读全文
posted @ 2018-07-24 23:51 bmjoker 阅读(2167) 评论(3) 推荐(1) 编辑
18. CTF综合靶机渗透(十一)
摘要: 靶机描述: SkyDog Con CTF 2016 - Catch Me If You Can 难度:初学者/中级 说明:CTF是虚拟机,在虚拟箱中工作效果最好。下载OVA文件打开虚拟框,然后选择文件->导入设备。从下载的地方选择OVA文件。在导入OVA文件之后,确保在启动VM之前禁用USB 2。默 阅读全文
posted @ 2018-07-24 01:53 bmjoker 阅读(2157) 评论(0) 推荐(1) 编辑
2018年7月18日
17. CTF综合靶机渗透(十)
摘要: 靶机描述:欢迎来到超级马里奥主机!这个虚拟机是对真实世界场景场景的模拟。目标是在VM中找到2个标志。根是不够的(对不起!)VM可以以多种方式开发,但请记住枚举是关键。挑战的程度是中等的。感谢VDBAN、KLTWD、MRB3N和GKNSB进行测试。 靶机渗透: 本次攻击机依然采取的是kali+wind 阅读全文
posted @ 2018-07-18 23:29 bmjoker 阅读(2747) 评论(1) 推荐(2) 编辑
3. 中间件安全基础(三)
摘要: 0x00 前言 前两篇文章我们对六款中间件的基本信息和相关的安全配置做了介绍,这篇文章我们主要就中间件常见的漏洞利用方式及修复方法做出讲解。如果某些地方存在疑问可以对比着前两篇文章阅读,更好地加深理解。 0x01 Apache 解析漏洞是指非程序文件被异常解析为程序文件的漏洞,利用这种漏洞可以绕过一 阅读全文
posted @ 2018-07-18 22:00 bmjoker 阅读(2339) 评论(0) 推荐(6) 编辑
2018年7月17日
1. sqlmap超详细笔记+思维导图
摘要: sqlmap思维导图: 0x00 前言 现在的网络环境往往是WAF/IPS/IDS保护着Web 服务器等等,这种保护措施往往会过滤挡住我们的SQL注入查询链接,甚至封锁我们的主机IP,所以这个时候,我们就要考虑怎样进行绕过,达到注入的目标。因为现在WAF/IPS/IDS都把sqlmap 列入黑名单了 阅读全文
posted @ 2018-07-17 22:04 bmjoker 阅读(25231) 评论(0) 推荐(16) 编辑
2018年7月12日
16.CTF综合靶机渗透(九)
摘要: Boot2root challenges aim to create a safe environment where you can perform real-world penetration testing on an (intentionally) vulnerable target. Th 阅读全文
posted @ 2018-07-12 01:52 bmjoker 阅读(881) 评论(0) 推荐(1) 编辑
2018年7月5日
15. CTF综合靶机渗透(八)
摘要: VM Name: BlackMarket VM Description: BlackMarket VM presented at Brisbane SecTalks BNE0x1B (28th Session) which is focused on students and other InfoS 阅读全文
posted @ 2018-07-05 23:10 bmjoker 阅读(1484) 评论(0) 推荐(2) 编辑
2018年6月22日
14. CTF综合靶机渗透(七)
摘要: 靶机说明 NinevehV0.3.7z是一个难度为初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址(192.168.0.150) 目标 Boot to root:获得root权限,查看flag。 运行环境 靶机:静态IP是192.168.0.150。 攻击机:同网段下有kal 阅读全文
posted @ 2018-06-22 18:02 bmjoker 阅读(4506) 评论(0) 推荐(1) 编辑
2018年6月14日
13. CTF综合靶机渗透(六)
摘要: 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网,并且配置网段。非常感谢Knightmare和rastamouse进行测试和提供反馈。作者期待大家写出文 阅读全文
posted @ 2018-06-14 16:32 bmjoker 阅读(2487) 评论(0) 推荐(1) 编辑
12. CTF综合靶机渗透(五)
摘要: 运行环境 Virtualbox (二选一) Vnware Workstation player 通关提示 fristi 设置 首先,我们在开始之前,我们按照作者的要求设置虚拟机的MAC地址 08:00:27:A5:A6:76 然后打开VM 发现靶机ip为 : 192.168.1.109 本次所选攻击 阅读全文
posted @ 2018-06-14 12:25 bmjoker 阅读(1045) 评论(0) 推荐(1) 编辑
2018年6月13日
2.中间件安全基础(二)
摘要: 0x00 前言 这是这个系列的第二篇,主要讲解Weblogic、WebSphere和Jboss这三款Java中间件的安全配置和日志格式。首先说一些Java中间件的定义:在Java web开发的演进与进化中,对于消息系统,数据库,服务化接口的抽象;涉及数据分离的过程中及分离后系统间,数据库间的交互和通 阅读全文
posted @ 2018-06-13 17:03 bmjoker 阅读(1697) 评论(1) 推荐(1) 编辑
2018年6月12日
11. CTF综合靶机渗透(四)
摘要: 运行环境 Virtualbox (二选一) Vnware Workstation player Virtualbox (二选一) Vnware Workstation player 通关提示 Enumeration is key Try Harder Look in front of you Twe 阅读全文
posted @ 2018-06-12 19:56 bmjoker 阅读(2090) 评论(0) 推荐(2) 编辑
23. Bypass ngx_lua_waf SQL注入防御(多姿势)
摘要: 0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源码: 阅读全文
posted @ 2018-06-12 13:41 bmjoker 阅读(682) 评论(0) 推荐(0) 编辑
22. Bypass X-WAF SQL注入防御(多姿势)
摘要: 0x00 前言 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。 0x01 环境搭建 官网:https://waf.xsec.io github源码:https://git 阅读全文
posted @ 2018-06-12 13:24 bmjoker 阅读(619) 评论(0) 推荐(1) 编辑
21. Bypass D盾_防火墙(旧版 and 新版)SQL注入防御(多姿势)
摘要: D盾旧版: 00前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。 构造不同的测试环境,I 阅读全文
posted @ 2018-06-12 12:56 bmjoker 阅读(1466) 评论(0) 推荐(1) 编辑
上一页 1 ··· 4 5 6 7 8 9 10 11 12 13 下一页