- 博客(18)
- 收藏
- 关注
RSS订阅原创 记一次Js逆向-youdao的sign参数
1、在找这个数据包中的字段加密的关键代码时,一定要记住这个包是点击什么地方才发出的,然后在相关的js文件中通过关键词或者加**“:”的关键词搜索代码段,然后debug**,如果出现调试界面。说明这个包生成的过程中使用了这段js代码。2、遇到加密函数可以先将其丢给AI,看看有没有惊喜,会不会加密函数中没有加私货3、还有一种方法找函数,我们可以将关键代码cp到js文件中,然后用py调用js的函数,看py会报什么错,根据报错提示,一步一步补齐js中差的函数。
2024-11-20 19:45:31
914
1原创 Apache Commons Collections 反序列化漏洞
Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强大的数据结构类型和实现了各种集合工具 类。作为Apache开放项目的重要组件,Commons Collections被广泛的各种Java应用的开发。可以在Apache官网下载CC的jar文件和源代码,用于代码审计。Java集合框架:称为Collection,是Java中存在的一系列操作List、Set和Map的类的集合。
2024-11-03 15:45:07
1313
原创 Java序列化与反序列化
readObject()是可以进行重写的,如果我们重写了这个类,那么在代码中就不会去调用原始的readObject(),而是调用我们重写的readObject(),如果重写的readObject()中执行了一些敏感的方法,再加上一些参数可被控制就会造成漏洞。如果我们运行上面的代码,进行序列化和反序列化时,计算器被打开,则证明漏洞存在(用来序列化的类是重写后的,加了Runtime)Java对象(存在于内存)<<———反序列化——字符串/二进制流(存在于磁盘、网络)1、重写类的readObject()方法。
2024-11-03 15:44:21
431
原创 PHP反序列化漏洞
序列化是将对象的状态信息转换为可以存储或传输得到形式的过程序列化(Serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中能恢复原先状态的过程。其作用主要体现在以下几个方面:1、方便网络传输:在网络通信中,数据需要以特定的格式进行传输。序列化可以将对象转换为字节流,从而方便地在网络上传输。接收方再对这些字节流进行反序列化,即可恢复出原始的对象。
2024-11-03 15:43:55
924
原创 Kali Linux 安装
本期主要学习了Kali的基本信息和Kali安装Kali与CentOS的指令有一点点不同,在使用指令时要注意在进行root用户密码修改时一定要切换到root用户,要注意这里第一次修改密码时用的指令,会要求先输入kali用户的密码,然后再设置root用户的密码,两次,后面切换root用户时用的sudo su指令,会要求输入kali的密码,而不是输入root的密码在用XShell连接Kali时,一定要先设置Kali允许远程连接物理机安装是指开机可以直接启动kali系统。
2024-08-05 21:58:16
2122
原创 Linux学习笔记(12~13)——Linux安全加固、Windows命令
本期主要学习安全加固思路从 身份鉴别(删除多余无用账号、增加密码复杂度、设置密码有效期、设置失败重试次数)访问控制(设置黑白名单IP、端口、root权限控制)安全审计(添加日志)漏洞补丁(安装更新)安全产品加固清单 等方面考虑安全另外对Windows 命令进行了解主要针对ssh密码暴力破解命令用于显示 Linux 或 Unix 系统中 /etc/passwd 文件的内容。这个文件包含了系统上所有用户账户的基本信息。命令。
2024-08-05 09:27:29
852
原创 Linux学习笔记(11)——Linux系统状态管理
本期主要学习Linux系统的状态管理查看系统信息,日期时间(date、cal、uptime、w),系统版本进程管理,运行程序(./、后台运行nohup ./)、查看进程(top、ps、pstree)、服务管理内存使用情况free磁盘使用情况du、sar定时任务crontable及定时任务文件。
2024-08-04 12:03:30
862
原创 Linux学习笔记(10)——Linux网络管理(防火墙)
本期学习Linux网络管理网络的基本概念,学过计算机网络的应该都能懂网络配置文件中配置Linux的静态IP,方便使用XShell连接查看及配置网络ifconfig和ip连通性测试 ping和telnet查看网络连接netstat(ss)域名(nslookup、dig、host)文件下载和传输(wget、scp、curl)Linux防火墙设置。
2024-08-04 11:05:28
2047
原创 Linux学习笔记(9)——用户和权限管理
本期学习的内容是用户和权限管理包括:用户组(GUID)的管理、用户(UID)的管理,通过查看/etc/group文件知道有多少个用户组,查看/etc/passwd文件知道有多少用户存放用户组和用户信息的文件格式,密码的组成(加密方式),普通用户执行root用户才能执行的指令的方式用户管理的命令id、w、who、users、whoami、su以及第三方命令finger(需安装)用户和文件的关系文件和目录的归属文件和目录的权限,rwx和775的含义权限的修改。
2024-08-03 19:01:28
1755
原创 Linux学习笔记(8)——Linux软件安装
本期主要学习Linux的软件安装方式源码安装,可以通过wget下载tar.gz压缩包,也可以在Windows上下载好压缩包上传到Linuxrpm安装、yum安装、NDF安装Debian的Deb安装、apt安装软件的版本管理工具,uodate-alternative。
2024-08-03 10:22:05
391
原创 Linux学习笔记(7)——Linux文本编辑器
本期主要学习Linux文本编辑器VI和VIMVIM是VI的升级,VIM类似于代码编辑器,可以显示高亮VIM的三种模式,编辑模式一般在命令模式输入i就可进入,退出按ESC,输入:可进入底行模式移动光标的操作,在命令模式进行搜索替换和 删除、复制、撤销。
2024-08-02 13:07:10
411
原创 Linux学习笔记(6)——查看和处理文件内容
本期主要学习查看和处理文件内容主要有cat、more/less、head/tail、grep、|(pipe)、wc、diff另外还搜集了一下Windows中常用的文本对比工具。
2024-08-01 20:01:59
410
原创 Linux学习笔记(5)——文件压缩及解压缩(tar)
本期学习文件压缩及解压缩要区分打包和压缩是两种不同的行为打包就是将多个文件放在一起压缩会将这些文件通过算法重新编辑(例如文件中有AAAAA,通过算法会变成5A,这样可以减小文件体积)常见压缩的格式tar命令zip命令。
2024-08-01 19:41:16
1520
原创 Linux学习笔记(4)——Linux文件和目录管理
本期主要学习了Linux常规命令的组成以及一些常用命令:ls、ll(ls -l的别名)、pwd、cd、cp、find(以及一些通配符的验证和文件重命名时父目录和子目录中同名文件出现的问题)、mkdir、mv、rm(rmdir)、touch、mount、ln、ln -s。
2024-07-31 21:09:35
738
原创 Linux学习笔记(3)——Linux命令
本篇内容主要为Linux基本命令主要包括:查看命令说明的 man 指令关机重启的 root一些快捷键,如复制、粘贴、历史命令指令别名的配置,可以自定义一个指令,起一个自己知道的名称通配符,*、?、[]、{}、^环境变量配置一些用于重定向输出的符号。
2024-07-31 12:15:33
501
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人