MD5碰撞
在CTF中可以说是经常碰到md5加密了,一般都是进行强比较抑或是弱比较,考法非常多,但是万变不离其中。只要我们掌握了原理,一切问题便迎刃而解了。文章首发于我的博客,格式可能比较清晰,有兴趣了解CTF中MD5碰撞的伙伴可以移步查看。
vulnhub——Earth靶机
再次nmap进行扫描,之前返回HTTP400的页面就没问题了。攻击机开启监听,把接收到的文件命名为跟靶机文件相同的文件名。这里是一个命令执行的输入框,有命令执行漏洞存在的可能性。结合前面的用户名,找到之前扫出来的的登录页面尝试一下。前面两个密钥的解码都是乱码,只有最后一个可以正常解码。对反弹shel
SQL注入漏洞简介、原理及防护
SQL注入漏洞简介、原理及防护SQL注入原理SQL注入SQL注入危害SQL注入分类SQL注入防护
2022红队必备工具列表总结
一款适用于以HVV行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如Title、Domain、CDN、指纹信息、状态信息等。Railgun
文件上传—WAF拦截的绕过方式
文件上传—WAF拦截的绕过方式
2023年推荐几款开源或免费的web应用防火墙
2023年,数字经济将强势崛起,并且成为新一轮经济发展的动力,传统的黑客破坏性攻击如CC,转为更隐蔽的如0day进行APT渗透。所以无论私有服务器还是云厂商如Cloudflare、阿里云、腾讯云等都把web应用防火墙(WAF)作为网络安全的必配核心保护设施。
从零基础转行渗透测试到如今20k,我经历了什么?
后来,我姐姐知道我的状况之后,劝我转行IT。我是一个很迷茫的人,做决定很迟缓,挑公司都很慢,在看到我的同学们都找到工作之后,心里真的是急坏了。于是,我在大学毕业之后就选择了做销售的工作,但是随着年龄越来越大,再加上20年的不可抗因素,我越发感到力不从心了,一是因为销售行业入行门槛非常低,只要愿意干就
node.js--vm沙箱逃逸初探
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱
网络安全——SQL注入漏洞
SQL注入基本知识和SQL注入基本流程,sqli-labs
JWT总结
JWT是什么全称Json Web Token。是跨域身份认证的一种方式。JWT的声明一般是用来身份提供者与服务提供者之间传递被认证的用户身份信息。便于从服务器获取到资源。它也可以用来记录用户信息。与token不同的是,它不用查询数据库,只要在服务端使用密钥完成校验就行。JWT的原理服务器认证以后,就
禅道16.5 SQL注入(CNVD-2022-42853)
禅道16.5 SQL注入(CNVD-2022-42853)
JWT技术--JSON Web Token
一、JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。使用方式:服务端根据规范生成一个令牌(token),并且发放给客户端(保存在客户端)。
网络安全管理员_三级_操作技能考核解题过程(3)
配置反向代理 HTTP 服务器,服务器名称为‘dvwa.example.net’,绑定位置,其他保持默认;(6) 配置反向代理HTTP 服务器,服务器名称为‘dvwa.example.net’,绑定。(5) 配置HTTP 本地描述为‘DVWA’,网址格式‘/’,在自定义策略中只勾选。(4) 配置上游
内存马检测排查手段
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存马因其隐蔽性等优点从而越来越盛行。
MySQL UDF 提权
UDF 全称 User Defind Function(用户自定义函数),用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 一样方便。UDF 提权是通过这样的方法来实现获取对方主机的system的she
冰蝎:命令执行操作的流量分析
冰蝎:命令执行操作的流量分析
2022 年全国职业院校技能大赛(中职组) 网络安全竞赛试题D模块评分标准
2022 年全国职业院校技能大赛(中职组) 网络安全竞赛试题D模块评分标准
某红队实习面经(附答案)
免责声明:该⽂章仅供安全学习和技术分享,请勿将该⽂章和⽂章中提到的技术⽤于违法活动上,切勿在⾮授权状态下对其他站点进⾏测试,如产⽣任何后果皆由读者本⼈承担,与猩红实验室⽆关!如有侵权,联系删除,转载请注明出处,感谢!面试的时间很长,导致有很多问题都忘了,只想起来这些,面试寄了,师傅们当个参考就好。1
2021全国职业技能大赛-网络安全赛题解析总结①(超详细)
模块A 基础设施设置与安全加固一、项目和任务描述:假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。二、服务器环境说明:Wi
