03 2024 档案
摘要:一、环境搭建 实验主机:kali-linux 2023 虚拟机(VM) 实验靶机:Os-hackNos-1 靶机(VM) 实验网络:桥接模式 flag:1.普通用户的user.txt;2.root用户的user.txt 技能:漏洞利用 | web应用 | 暴力破解 | 权限提升 靶机下载:https
阅读全文
摘要:漏洞描述 程序员使用脚本语言(比如 PHP)开发应用程序过程中,脚本语言开发十分快速、 简洁,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序。当应用进行调用时就会用到一些执行系统命令的函数,应用在调用这些函数的时候,如
阅读全文
摘要:漏洞描述 程序在引用文件的时候,引用的文件名是用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作到预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这重文件调用的过程一般被称为文件
阅读全文
摘要:漏洞介绍 XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有
阅读全文
摘要:漏洞描述 文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,上传有害的可以执行脚本文件到服务器中,可以获取服
阅读全文
