渗透测试
关注
分享
扫一扫
文章平均质量分 90
豪门土狗
vx:AI_0411zj
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Shiro反序列化漏洞原理与复现指南
,攻击者可通过构造恶意RememberMe Cookie触发反序列化漏洞,导致远程代码执行(RCE)。Shiro反序列化漏洞是Java应用中的经典漏洞,核心问题在于密钥硬编码和危险的反序列化操作。Apache Shiro 是Java领域广泛使用的安全框架,用于身份认证、权限控制等场景。:Apache Shiro ≤ 1.2.5、≤ 1.5.2(部分版本需结合其他条件)。:Shiro在1.2.5及以下版本中,默认使用硬编码的AES加密密钥(,替换为安全的反序列化方案(如白名单机制)。原创 2025-03-10 19:19:38 · 693 阅读 · 0 评论 -
渗透测试之利用sql拿shell(附完整流程)【全】
SQL注入的本质是。原创 2025-03-09 14:26:47 · 1319 阅读 · 0 评论 -
渗透测试之利用sql注入拿shell防御方案
渗透测试之利用sql注入拿shell防御方案。原创 2025-03-09 14:04:11 · 661 阅读 · 0 评论 -
渗透测试之利用sql拿shell(附完整流程+防御方案)【下】
而网站具有数据库备份功能,这时我们就可以将webshell格式先改为允许上传的文件格式,如jpg、gif等,然后,我们找到上传后的文件路径,通过数据库备份,文件备份为脚本格式。通常情况下执行sql语句时的执行时间一般不会超过10s,所以说这个日志文件应该是比较小的,而且默认也是禁用状态,不容易引起管理员的察觉。网站对上传的文件后缀进行过滤,如不允许上传脚本类型文件如asp/php/jsp/aspx等。所以,如果目标站点存在文件包含漏洞,我们可以通过包含session文件来拿shell。原创 2025-03-09 13:25:40 · 608 阅读 · 0 评论 -
渗透测试之利用sql拿shell(附完整流程+防御方案)【上】
SQL注入的本质是通过恶意SQL语句操控数据库,而部分数据库支持执行系统命令或写入文件。若能利用注入点向Web目录写入一句话木马,即可通过中国菜刀/蚁剑连接获取Shell。原创 2025-03-08 20:52:08 · 2150 阅读 · 0 评论 -
渗透测试之Web基础之云技术基础
无论是防御还是进攻,强大的底层技术基础都是必要的。云技术历史始于 1960 年代,经历了从资源共享到虚拟化技术的发展,最终形成了现代云计算的雏形。2002 年,亚马逊推出了 Amazon Web Services(AWS),开启了按需计算资源租用的商业化进程。云计算服务逐渐多样化,包括 PaaS (平台服服务)和 SaaS (软件服服务)。到 2020 年代,云计算与人工智能、大数据等新兴技术融合,成为推动企业数字化转型和创新的关键技术。原创 2025-03-05 10:52:53 · 269 阅读 · 0 评论 -
渗透测试之Web基础之Linux病毒编写
命令:(输入i进行插入模式,输入代码后点击esc退出插入模式,在使用:wq保存并退出)泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频 (bilibili.com)添加可执行权限,刚创建的文件默认是没有可执行权限的。三、Linux无限弹窗病毒。三、Linux无限弹窗病毒。"无限弹窗""弹弹弹"解释运行脚本,出现弹窗。原创 2024-12-02 10:59:32 · 2299 阅读 · 0 评论 -
渗透测试之Web基础之Linux基础(下)
解释:用于显示和控制内核环形缓冲区中的消息。“-l” 选项表示以长格式显示文件信息,包括文件的权限、所有者、所属组、文件大小、修改 时间等详细信息。包含用户名、加密后的密码、密码最后一次修改的时间、密码最短使用期限、密码最长使用 期限、密码过期前警告时间、密码过期后宽限时间、账号失效时间等信息。解释:显示 “/var/log/wtmp” 文件中最后 5 行的登录记录信息,包括登录用户、登录终端、登录时间等。用户名、密码占位符、用户 D、用户组 ID、用户描述信息、用户主目录、用户默认 shell。原创 2024-11-16 15:54:40 · 1399 阅读 · 0 评论 -
渗透测试之Web基础之Linux基础(上)
OpenSSL是KaLi Linux中一个非常重要的安全工具库,它提供了丰富的加密、解密、签名和验证等功能。OpenSSL支持多种加密算法,包括对称加密算法(如AES、DES等)和非对称加密算法(如RSA、ECC等)。这些算法可以用于保护数据的机密性和完整性。用于查找并显示给定命令的绝对路径。这个命令会在用户的PATH环境变量所指定的目录中搜索指定的命令,并返回第一个找到的匹配项。原创 2024-11-11 19:18:50 · 1123 阅读 · 0 评论 -
渗透测试之Web基础之windows病毒编写
泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频 (bilibili.com)原创 2024-11-10 19:30:00 · 1169 阅读 · 0 评论 -
渗透测试之Web基础之windows基础
Windows Subsystem for Linux,是Windows的一项功能在win上运行的Linx子系统。进行身份验证,然后设置环境变量。进行身份验证,然后设置环境变量。原创 2024-11-08 19:51:17 · 2290 阅读 · 0 评论 -
渗透测试之shodan(GUI版)实战及思考
请坚持下去,同志们。原创 2024-11-06 17:27:04 · 1229 阅读 · 0 评论 -
渗透测试之shodan导读及思考
shodan search --limit 10 --fields ip_str,port country:jp (fields是对信息做筛选)“--color”可能是用于给搜索结果添加颜色(不过搜索结果未明确提及此参数的具体效果,可能是命令行界面的显示效果相关)。shodan搜索引擎不同于百度,谷歌浏览器,它是专门搜索网络设备的,只要是联网的设备就属于网络设备。,如漏洞扫描器,硬件扫描器,目录扫描器等等,24小时不停的扫描,批量对。是一个基于拦截器的搜索引擎,专注于设备和服务的信息,而不是网页内容。原创 2024-10-31 20:51:58 · 995 阅读 · 0 评论 -
渗透测试之基础见闻科普笔记及思考(中)
CISSP是国际上广泛认可的信息安全专业认证,由(ISC):组织颁发。该证书涵盖了信息安全的各个领域,包括安全管理、访问控制、密码学、网络安全等,适合信息安全管理人员和专业人士。安全管理:包括安全策略、风险管理、合规性等访问控制:身份认证、授权、访问控制模型等密码学:加密算法、密钥管理、数字签名等网络安全:网络架构、防火墙、入侵检测等软件开发安全:安全开发生命周期、代码审查等。请坚持下去,同志们。文中如有错误,还请各位大佬批评指正,感激不尽!t=O83A。原创 2024-10-23 16:42:48 · 1240 阅读 · 0 评论 -
渗透测试之基础见闻科普笔记及思考(下)
例如,量子系统是用于科研实验、量子通信网络建设,还是量子计算服务等,以便更好地理解其潜在的价值和可能存在的安全重点。同时,在数字签名体制中,要求接收者返回一个自己的签名表示收到的报文,给对方或者第三方,或者引入第三方机制。一旦新的区块被添加到区块链中,它会立即被所有的节点复制并存储在自己的本地数据库中,以确保与整个网络的数据保持同步。Shor算法的核心是量子周期寻找,它利用量子叠加和量子纠缠的特性,通过量子傅里叶变换找到周期函数的周期。在密码学中,通常使用的是有限域上的椭圆曲线,即曲线上的点数量是有限的。原创 2024-10-30 15:13:39 · 1181 阅读 · 0 评论 -
渗透测试之基础见闻科普笔记及思考(上)
请坚持下去,同志们。原创 2024-10-22 15:07:53 · 956 阅读 · 0 评论 -
渗透测试之信息收集笔记及思考
信息收集是渗透测试的基础,更是重中之重,要具有自己的思路,珍惜每个资源信息。原创 2024-10-18 21:40:56 · 2529 阅读 · 0 评论