文件上传-.user.ini的妙用
文件上传漏洞-.user.ini在文件上传中的妙用
无线WiFi安全渗透与攻防(五)之aircrack-ng破解WEP加密
其实我们平常在使用wifi的时候,往往会用到的加密方式主要有WEP(pre-RSNA), WPA(TKIP), WPA2(CCMP-AES), 如果有个别对安全要求比较高的也会使用企业级加密(802.1x). 在最新的802.11-2010标准中,有明确的支持新的无线设备应该抛弃WEP和WPA加密方
权限提升:本地权限提升.(AT || SC || PS )
权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操
【网络安全】红队基础免杀
【网络安全】红队基础免杀
华为ensp模拟器 三层交换机
先用vlan把用户隔离开,再用三层交换机,将隔离的用户连起来。隔离:隔离的是故障连通:连通的是正常通信运用三层交换机实现。用LSW2交换机将两台pc机隔开,划分到不同的vlan里。再用LSW1交换机将两台pc机连接。这样两台pc机就不能直接通过LSW2交换机通信(隔离病毒的传播),而是需要通过LSW
虚拟机网络设置---保姆级教学
该文章主要教学:(1)虚拟机物理机ping通(2)虚拟机配置上外网(3)虚拟机跨网段ping通**虚拟机与物理机的ping通配置**1、首先我们先看看我们挂载了哪些网卡:命令行输入ip addr:可以看到有eth0和eth1两个网卡2、输入cd /etc/sysconfig/network-scri
sql注入一般流程(附例题)
在与服务器数据库进行数据交互的地方拼接了恶意的sql代码,达到欺骗服务器执行恶意代码的目的。本质上是程序把用户输入的数据当成了sql语句执行。
基于飞书组织架构和用户信息同步构建本地LDAP服务
基于飞书的人员组织架构同步搭建LDAP目录服务,为应用系统提供统一的身份认证和访问授权,这样就不需要额外的人力去维护本地应用系统内的账号体系,直接打通了各应用系统之间的组织架构和账号信息。以及当有员工状态变更(入离调转)的时候,能及时同步,就能避免出现授权外的访问,极大提高运维效率和员工的访问体验。
第一届全国技能大赛(世赛项目)河北省选拔赛 网络安全项目任务书
跨国公司总部分支互联架构,根据题目及拓扑要求,修改设备名称并做相应配置如下:1、总部有两台接入交换机(sw-1-1,sw-1-2)分别连接主机1、2、3以及打印机printer。其中主机1和3属于IT部门,主机2和打印机属于Sales销售部门,出于管理以及安全层面,需要将两个部门划分至不同子网。2、
HDCTF2023 Writeup
HDCTF2023 wp,pwn 全部,web 2/6,crypto 4/5,reverse 6/7,misc 3/5 题解。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
2023网络安全十大顶级工具
虽然社区版是免费的,但它只提供必要的手动工具,并且有一些无法使用的受限功能。它是世界顶尖的网络安全软件之一,为有效的渗透测试提供了众多工具。它使专业人员能够匹配多个安全目标,例如识别系统和网络的漏洞,通过制定合适的网络安全策略来增强系统安全性,管理和监控安全评估等。WebGoat是OWASP组织研制
HTB Mailroom WriteUp
HTB MailRomm Wp
【密码学】Java课设-文件加密系统(适用于任何文件)
常见的加密方式分为两种,对称加密和非对称加密,本文仿照凯撒加密的原理,用Java设计实现一款密钥更为简单的加密算法。最终加密效果是将任意以直接或间接文本形式(包括汉字、英文等其他国家语言)存在的内容进行乱码加密。...
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入
RSA加密/解密
RSA加密算法是一种可逆的非对称加密算法,即RSA加密时候用的密钥(公钥)和RSA解密时用的密钥(私钥)不是同一把。基本原理是将两个很大的质数相乘很容易得到乘积,但是该乘积分解质因数却很困难。RSA算法被广泛的用于加密解密和RSA签名/验证等领域。
VMware虚拟机无法上网解决方法
VMware虚拟机无法上网解决方法
如何使用 NMAP 命令进行网络扫描
Nmap(“Network Mapper”)是一个免费的开源(许可)实用程序,用于网络发现和安全审计。许多系统和网络管理员还发现它对网络清单、管理服务升级计划以及监控主机或服务正常运行时间等任务很有用。Nmap 以新颖的方式使用原始 IP 数据包来确定网络上可用的主机、这些主机提供的服务(应用程序名
常见逻辑漏洞总结
常见逻辑漏洞简介逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。 在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。1.交易逻辑漏洞...
Fastjson反序列化漏洞(1.2.24 RCE)
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。