摘要:
简介: redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remov 阅读全文
摘要:
0x01.漏洞描述: 0x02.解决方法: 0x03.参考链接 漏洞利用参考链接:https://www.cnblogs.com/peterpan0707007/p/8529918.html 漏洞原理及防御链接:https://www.freebuf.com/articles/web/172561. 阅读全文
摘要:
Tomcat 支持在后台部署war包,可以直接将webshell部署到web目录下,如果tomcat后台管理用户存在弱口令,这很容易被利用上传webshell。 阅读全文
摘要:
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法,攻击者通过构造的攻击请求向服务器上传包含任意代码的 JSP 文件,可造成任意代码执行。 阅读全文
摘要:
ZIP文件是一种压缩文件,可进行加密,也可不加密。而伪加密是在未加密的zip文件基础上修改了它的压缩源文件目录区里的全局方式位标记的比特值,使得压缩软件打开它的时候识别为加密文件,提示输入密码, 而在这个时候,不管你用什么软件对其进行密码破解,都无法打开它!这就是它存在的意义! 阅读全文
摘要:
题目简介: 背景介绍 在为某公司检测后台页面时,你发现了一个上传页面,该页面做了一些防护,你需要尝试绕过并上传webshell,以获得网站根目录访问权限 实训目标 1、熟悉常见中间件存在的解析漏洞;2、熟悉一句话木马的使用与制作3、熟悉常见的上传漏洞利用方法 解题方向 1、试探允许上传的文件类型2、 阅读全文
摘要:
0x00.题目描述: 背景介绍 某业务系统,安全工程师"墨者"进行授权黑盒测试,系统的业主单位也没有给账号密码,怎么测? 实训目标 1、掌握SQL注入的基本原理;2、了解服务器获取客户端IP的方式;3、了解SQL注入的工具使用; 解题方向 对登录表单的各参数进行测试,找到SQL注入点,对数据库内容进 阅读全文
摘要:
0x00.题目描述: 背景介绍 安全工程师"墨者"对一单位业务系统进行授权测试,在测试过程中,发现存在bash命令执行漏洞。 实训目标 1、了解bash; 2、了解Bash远程命令执行漏洞形成原因; 3、了解Bash远程命令执行漏洞利用方法; 解题方向 找到poc.cgi文件 0x01.题目分析: 阅读全文