随笔分类 - Study
摘要:一、实验目的 1.掌握GRE 味皮恩的基本原理。 2.掌握GRE 味皮恩的配置方法。 3.掌握防火墙安全区域的划分及安全策略的配置。 4.掌握防火墙NAT策略的配置。 二、实验的仪器、设备、材料 路由器、PC机、防火墙. 三、实验内容及实验原理 网络的配置要求如下: 1、局域网需求 地址设计如图所示
阅读全文
摘要:一、实验目的 1.理解IPSec协议在网络安全中的作用 2.掌握IPSec 味皮恩的基本原理。 3.掌握IPSec 味皮恩的配置方法 二、实验的仪器、设备、材料 路由器、PC机、防火墙 三、实验内容及实验原理 网络拓扑图如下: 网络的配置要求如下: 1、局域网需求 地址设计如上拓扑图所示 2、资源访
阅读全文
摘要:一、实验目的 1.掌握防火墙的区域划分。 2.掌握防火墙的基本配置。 3.掌握在防火墙上配置源NAT的方法。 4.掌握在防火墙上配置NAT Server的方法 二、实验的仪器、设备、材料 路由器、PC机、服务器、防火墙、交换机 三、实验内容及实验原理 如上图所示,网络的配置要求如下: 1、局域网需求
阅读全文
摘要:一、实验目的 1.掌握EasyIP的配置。 2.掌握NAT Server的配置。 二、实验的仪器、设备、材料 路由器、PC机、服务器 三、实验内容及实验原理 实验拓扑图: AR1为出口设备,AR2为ISP设备。每个网段使用本网段最后一个有效地址作为网关。 现要求如下: (1)实现 PC1所在网段能够
阅读全文
摘要:一、实验目的 1.掌握ACL的分类及作用; 2.掌握ACL的配置方法; 二、实验的仪器、设备、材料 二层交换机、路由器、PC机 三、实验内容及实验原理 实验拓扑图: 现在需求如下: (1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。 (2)禁止
阅读全文
摘要:![[BJDCTF2020]The mystery of ip](https://img2022.cnblogs.com/blog/2222324/202210/2222324-20221023135354482-327762197.png)
打开题目 发现一个flag标签打开 看到了页面获取了本机的ip,看到ip就想到了X-Forwarded-For: 抓取flag页面,添加X-Forwarded-For: 构造payload,系统命令查看根目录下的所有文件,第一次发现还可以这么玩 X-Forwarded-For:{system("ls
阅读全文
打开题目 发现一个flag标签打开 看到了页面获取了本机的ip,看到ip就想到了X-Forwarded-For: 抓取flag页面,添加X-Forwarded-For: 构造payload,系统命令查看根目录下的所有文件,第一次发现还可以这么玩 X-Forwarded-For:{system("ls
阅读全文
摘要:![[网鼎杯 2018]Fakebook](https://img2022.cnblogs.com/blog/2222324/202210/2222324-20221022231529249-398777193.png)
打开题目 jion注册,点击admin进入主页 发现注入点no ?no=1 and 1=1 正常 ?no=1 and 1=1 报错 猜列数 菜擦才能得出基本为分几次日本v人vgtr给他人给他给他给通过通过他 采列数 、 ?no=1 order by 1#?no=1 order by 2#?no=1
阅读全文
打开题目 jion注册,点击admin进入主页 发现注入点no ?no=1 and 1=1 正常 ?no=1 and 1=1 报错 猜列数 菜擦才能得出基本为分几次日本v人vgtr给他人给他给他给通过通过他 采列数 、 ?no=1 order by 1#?no=1 order by 2#?no=1
阅读全文
摘要:![[SUCTF 2019]CheckIn](https://img2022.cnblogs.com/blog/2222324/202210/2222324-20221016165359375-310994293.png)
先打开题目,发现是一道文件上传的题 先随便上传一个一句话木马试试水 回显 文件名不能是php,随后试试将文件名改成1.php.jpg 回显结果 发现<?会被过滤掉 看来对文件的内容进行了检查,不过没关系,这个内容检查可以绕,写一个简单的script脚本,用 php 解析脚本内容 <script la
阅读全文
先打开题目,发现是一道文件上传的题 先随便上传一个一句话木马试试水 回显 文件名不能是php,随后试试将文件名改成1.php.jpg 回显结果 发现<?会被过滤掉 看来对文件的内容进行了检查,不过没关系,这个内容检查可以绕,写一个简单的script脚本,用 php 解析脚本内容 <script la
阅读全文
摘要:
一、永恒之蓝介绍 永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币
阅读全文
一、永恒之蓝介绍 永恒之蓝是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币
阅读全文
摘要:什么是 JWT? JSON Web Token(JSON Web 令牌)是一种跨域验证身份的方案。JWT 不加密传输的数据,但能够通 过数字签名来验证数据未被篡改(但是做完下面的 WebGoat 练习后我对这一点表示怀疑)。 JWT 分为三部分,头部(Header),声明(Claims),签名(Si
阅读全文
摘要:目录遍历(也称为文件路径遍历)是一种 Web 安全漏洞,允许攻击者读取运行应用程序的服务器上的任意文件。危害:1、读取的文件可能包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件等。2、在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服
阅读全文
摘要:二、基础概念 1、xml基础概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注
阅读全文