MinIO未授权SSRF漏洞复现(CVE-2021-21287)
MinIO 是一款基于Go语言发开的高性能、分布式的对象存储系统。由于MinIO组件中LoginSTS接口设计不当,导致存在服务器端请求伪造漏洞。攻击者可以通过构造URL来发起服务器端请求伪造攻击成功利用此漏洞的攻击者能够通过利用服务器上的功能来读取、更新内部资源或执行任意命令。
updatexml函数-报错注入原理学习
注入之前,首先得明白updatexml函数的利用方式以及函数语法。updatexml(xml_doument,XPath_string,new_value)第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格
自动化批量挖漏洞(edu)
自动化批量挖漏洞原理是将目标资产让爬虫工具爬取,把数据通过burp发送给xray进行漏洞扫描。本文使用到的工具Fofa采集工具,文章用edu举例,大家可以根据自己的目标进行选择。Rad,浏览器爬取工具,github地址: https://github.com/chaitin/radChrome浏览
shiro反序列化漏洞(简单,详细,附脚本)
第一步:下载脚本正在审核明天补充第二步:Shell工具打开三个窗口备用第三步 第一个窗口执行命令运行如下脚本然后就不要动这个窗口了,等待最后发生奇迹nc -lvvp 8088第四步 获取Bash重新编码的脚本将IP替换成你当前服务器的IP 再将这段代码在下边的网址中重新编码,(注:这个IP换成当前服
【中危】启用了不安全的TLS1.0、TLS1.1协议
TLS1.0协议漏洞检测复现
ThinkPHP 3.2.x RCE漏洞复现
ThinkPHP 3.2.x RCE漏洞复现漏洞介绍ThinkPHP3.2远程代码执行漏洞,该漏洞产生原因是由于在业务代码中如果对模板赋值方法assign的第一个参数可控,则导致模板路径变量被覆盖为携带攻击代码路径,造成文件包含,代码执行等危害。漏洞复现复现环境:phpstudy+php7.3.4+
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
禁用3DES和DES弱加密算法,保证SSL证书安全
apache服务器禁止使用3DES加密算法,在server.xml中添加配置
DVWA-文件包含漏洞
文件包含:当服务器开启allow_url_include选项时,可以通过某些特性函数如:include() , require() , include_once() , require_once() 利用url去动态地包含文件,若未对文件进行来源审查,就会导致任意文件读取或者任意命令执行。分类:(1
春秋云境:CVE-2022-24124
Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。
渗透测试练习靶场汇总
渗透测试 练习常用靶场汇总
hw蓝队初级面试总结
1、sql注入原理、分类、绕过原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。分类:我们可以把sql注入直接的
1秒破解iPhone 13 Pro:可任意获取并删除设备上的数据
iPhone 13 Pro的全球首次公开远程越狱
渗透测试--网站目录扫描(爆破)--Dirbuster下载、安装和使用
一、下载安装二、简介三、基础用法1、双击运行Dirbuster-0.9.8.jar2、在target URL栏中输入要扫描的地址3、在file with list of dirs/files 栏后点击browse,选择破解的字典库为directory-list-2.3-small.txt4、去除Bu
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
针对vue框架渗透测试,vue漏洞,vue未授权访问目录漏洞复现和实战,针对vue未授权目录访问漏洞的安全工具开发,javafx漏洞扫描工具开发。
Nuclei——一款基于YAML语法模板的快速漏洞扫描工具
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。
内网渗透工具CobaltStrike使用教程详解
内网渗透神奇CobaltStrike工具的使用教程,非常适合刚入手的新手,本文讲解了如何启动CobaltStrike,客户端连接团队服务端,配置监听器,生成木马,权限提升,命令执行以及内网横线穿透,插件加载,命令执行等操作,目标信息总结表(自动记忆保存),查看主机的文件和文件夹结构信息,以及利用Co
太厉害了,终于有人能把文件上传漏洞讲的明明白白了
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:P7 漏洞类型详解_文件上传漏洞往期检索:小白渗透入门系列 - 目录微信公众号回复:【文件上传】,即可获取本文全部涉及到的
Nuclei——一款基于YAML语法模板的快速漏洞扫描工具
Nuclei是一款基于YAML语法模板的开发的定制化快速漏洞扫描器。它使用Go语言开发,具有很强的可配置性、可扩展性和易用性。
updatexml函数-报错注入原理学习
注入之前,首先得明白updatexml函数的利用方式以及函数语法。updatexml(xml_doument,XPath_string,new_value)第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string (Xpath格