- 博客(9)
- 收藏
- 关注
RSS订阅原创 windows下tomcat启动但无法访问的问题
[http-nio-8080-exec-1] org.apache.coyote.http11.Http11Processor.service 解析 HTTP 请求 header 错误 注意:HTTP请求解析错误的进一步发生将记录在DEBUG级别。 java.lang.IllegalArgumentException: 在方法名称[0x160x030x010x020x000x010x000x010xfc0x030x030xf10x150x81/0xb9?0x990x8fsn40xbf?0x010x1eU
2022-11-22 18:17:34
1870
1
原创 自动化批量挖漏洞(edu)
自动化批量挖漏洞原理是将目标资产让爬虫工具爬取,把数据通过burp发送给xray进行漏洞扫描。本文使用到的工具Fofa采集工具,文章用edu举例,大家可以根据自己的目标进行选择。Rad,浏览器爬取工具,github地址: https://github.com/chaitin/radChrome浏览器, Rad默认支持浏览器Burp和Xray就不赘述了步骤一:由于举例子,就用fofa采集工具去批量采集edu资产来做演示,有fofa会员更好,资产相对多一些。 因为要使用Rad爬虫,
2022-10-03 16:41:52
13168
8
原创 webshell、一句话木马的权限问题
webshell一句话木马权限大小是由什么决定的。webshell的权限由不同级别的用户去运行容器所决定!通俗来说,如果是管理员运行web服务器,那么上传的木马被容器解析之后,它(shell)的权限就是管理员的权限,如果是普通用户运行web服务器,那么上传的木马被容器解析之后,它(shell)的权限就是普通用户的权限。
2022-09-11 19:29:22
3025
原创 哔哩哔哩2021-1024程序员节-安全攻防赛1-4解
哔哩哔哩2021-1024程序员节-安全攻防赛1-4解萌新方向1. 安全攻防–1题目链接:https://security.bilibili.com/sec1024/q/r1.html打开之后发现f12 抓包 都没有结果,看了看链接,也没有扫文件的必要了。ctf中我们要充分利用到每个出现的字。既然说了是解密,那就从解密下手,肉眼观察字符串我们无法去辨认这串字符的加密方法。happy_1024_2233也看不出来什么,后来我有一个朋友跟我说是aes加密,happy_1024_2233是密钥,那直接
2021-10-25 13:58:49
941
1
原创 灯塔资产系统(ARL)部署
ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。这是一个非常棒的信息收集工具,特别是在挖掘src漏洞的时候,前期的信息收集,个人感觉这款系统效果显著。集成于web界面,指纹识别,fofa采集,敏感泄露,子域名,c段,截图等…各种功能。作者的一次部署流程,希望可以帮助到准备搭建的小伙伴。很基础, 从docker的安装到arl的
2021-07-16 15:58:46
24034
15
原创 Bugku-社工-初步收集
Bugku-社工-初步收集虽说是初步,对于一个我这给ctf新手来说还是挺绕的启动场景本能反应,先扫路径。扫路径的同时,先抓包,f12啥的看看(因为ctf经常出现这种玩法)抓包,f12等没有任何发现这是扫出了敏感路径访问下一步就是获取账号名和密码了,先一波抓包,f12试试运气,修改包绕过失败,爆破失败,看来是要老老实实找账号密码了在提供的靶场中除了提供一个下载连接,什么都没有,下载下来看看先想到的是逆向,无奈不会,登录一下试试本能抓包,这里使用 wireshark..
2021-05-04 13:34:23
11003
9
空空如也
golang格式问题报错
2023-01-30
TA创建的收藏夹 TA关注的收藏夹
TA关注的人