摘要: 概要 漏洞影响 漏洞介绍 漏洞描述 先看下我本地的MYSQL版本信息 之后启动Mysql服务器 root@debian:~# service mysql start 查看mysql的进程信息 我们可以看到mysqld_safe的wrapper(封装)脚本是root权限执行的,而主要的mysqld进程 阅读全文
posted @ 2016-09-16 15:41 NanFei 阅读(11308) 评论(0) 推荐(0) 编辑
摘要: 漏洞概述 影响程度 漏洞测试 在zabbix地址后面添加这串url 如果显示以下内容,则说明存在profileIdx 2 参数注入漏洞 漏洞检测工具及使用 下载链接:http://pan.baidu.com/s/1skLY1f3 密码:kl8e 在地址栏中输入zabbix网站地址,如果存在漏洞将会弹 阅读全文
posted @ 2016-09-15 00:30 NanFei 阅读(4045) 评论(0) 推荐(0) 编辑
摘要: SSRF漏洞是如何产生的? SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系 阅读全文
posted @ 2016-09-10 11:20 NanFei 阅读(44635) 评论(0) 推荐(2) 编辑
摘要: 在dos命令行下隐藏用户的方法: net user 账户 密码 /add 如果在账号后加 $ 符号 这个账户在cmd命令行下是无法看见的 首先我们设置注册表权限 cmd = > regedt32 2. 创建用户 net user test$ 123456 /add 3.注册表中操作完成账号的克隆 C 阅读全文
posted @ 2016-08-30 22:53 NanFei 阅读(2063) 评论(0) 推荐(0) 编辑
摘要: 首先了解下常用域名记录 A记录 IP地址记录,记录一个域名对应的IP地址 AAAA记录 IPv6 地址记录,记录一个域名对应的IPv6地址 CNAME记录 别名记录,记录一个主机的别名 MX记录 电子邮件交换记录,记录一个邮件域名对应的IP地址 NS记录 域名服务器记录 ,记录该域名由哪台域名服务器 阅读全文
posted @ 2016-08-30 21:33 NanFei 阅读(1786) 评论(0) 推荐(0) 编辑
摘要: 许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名形如:http://www.nuanyue.com/getfile=image.jgp 当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images 阅读全文
posted @ 2016-08-30 21:22 NanFei 阅读(55470) 评论(2) 推荐(6) 编辑
摘要: 进行内网的dns劫持呢 ---> 我们需要用到ettercap 和ettercap内置的工具dns_spoof 1.我们需要开启ip转发 echo 1 >/proc/sys/net/ipv4/ip_forward 2.对一些配置文件进行修改 ① /etc/ettercap/etter.dns ② / 阅读全文
posted @ 2016-02-19 22:19 NanFei 阅读(1592) 评论(0) 推荐(0) 编辑
摘要: kali linux 阅读全文
posted @ 2016-02-17 22:04 NanFei 阅读(6329) 评论(0) 推荐(0) 编辑