BUUCTF闯关日记--[MRCTF2020]你传你呢(超详解)
进入页面文件上传漏洞,因为有些人没看过我前面的文章我再把我的总结发一下1、前端绕过,抓包修改后缀名,2、文件内容绕过,用图片马,抓包修改后缀绕过3、黑名单绕过,那么我们可以改成phtml抓包绕过4、.htaccess绕过,只要有这个配置文件,并且内容为“AddType application/x-h
Rsa 加密的使用
RSA 非对称加密,更好的实现前后端信息的安全传送
Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)复现
CVE-2022-26134 Confluence远程命令执行漏洞复现
【愚公系列】2023年05月 网络安全高级班 038.WEB渗透与安全(红队渗透测试入门指南)
0 DAY攻击鱼叉攻击水坑攻击DNS 域名劫持Webshell 木马DDoS 攻击SQL注入勒索病毒APT (Advanced Persistent Threat) 即高级持续性威胁,通常是指出于政治或商业动机,针对特定目标进行的手段高超、低调隐蔽、时间持久、精心策划的攻击。APT攻击可看成是发生在
[JAVA安全webshell]冰蝎jsp木马分析
冰蝎JSPwebshell
【每天学习一点新知识】nmap端口扫描
nmap的一些常用语法
网络安全模拟题----软考高项的走过来
文件明确了加强信息安全保障工作的总体要求:坚持()的方针,全面提高(),重点保障()安全,创建安全健康的网络环境,保障和促进信息化的发展,保护公共利益,维护国家安全。40、用户使用的鉴别依据(口令)通常由系统默认生成或由用户生成,为了记忆的方便,用户通常不对系统生成的默认口令进行更改或选择与自己相关
2022年职业教育技能大赛部分省赛少见D模块漏洞加固
超详细2022年职业教育技能大赛部分省赛少见D模块漏洞加固解析
Apache Druid RCE漏洞复现(QVD-2023-9629)
在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。
【愚公系列】2023年05月 网络安全高级班 032.应急响应溯源分析(Liunx⼊侵排查)
Linux入侵排查是一项重要的安全工作,可以帮助管理员及时检测并清除入侵者留下的后门程序、木马等恶意软件,保护系统安全。常用的入侵排查工具包括rkhunter、chkrootkit、tripwire等。此外,还应加强系统日志监控,及时发现异常行为并采取相应措施。
JMX Console 未授权访问漏洞
Jboss的webUI界面http//ipport/jmx-console未授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
考点图文详解 - 网络安全(第八章)
本章节考查的频率较大,且上午和下午都可以能会出现考点。通常分值在 6 分以上。常见的考点,病毒种类、PGP、数字签名、证书、加解密算法等。报文摘要算法:使用最广泛的报文摘要算法是MD5, 先把报文按512位分组,产生128位报文摘要。安全散列算法(Secure Hash Algoritm,SHA):
第十五届全国大学生信息安全竞赛部分WriteUp
CTF高考
redis未授权访问漏洞三种提权方式
redis未授权访问漏洞三种提权方式文章目录redis未授权访问漏洞三种提权方式前言一、redis是什么?二、漏洞利用条件1. redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。2.没有设置密码认证(一般为空),可以免密码远
文件上传-.user.ini的妙用
文件上传漏洞-.user.ini在文件上传中的妙用
[CTF/网络安全] 攻防世界 PHP2 解题详析
[CTF/网络安全] 攻防世界 PHP2 解题详析
权限提升:本地权限提升.(AT || SC || PS )
权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操
什么是护网(HVV)?需要什么技术?
护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。具体实践中。公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。“护网行动”是国家应对网络安全问题所做的重要布局之
springboot未授权漏洞(漏洞复现Springboot未授权访问及修复)
1、springboot未授权漏洞问题描述,Actuator 是Springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator 的核心是端点 Endpoint,它用来监视应用程序及交互,spring-
【网络安全】红队基础免杀
【网络安全】红队基础免杀
