有幸参加了这次线下awd模式的攻防赛,记录一下。自己参加过两次这种比赛,第一次是安徽省的蓝盾杯,当时比赛开始时一脸懵逼,不知道线下赛有如何的套路。被大佬们吊打了一路,扫出来端口却不知道可能存在的漏洞,(2049可能存在的nfs漏洞)。web上的漏洞却没有权限利用。这次比赛没有通过扫端口上出现的服务漏 ...
分类:
其他好文 时间:
2017-05-16 00:38:33
阅读次数:
283
sa权限获取webshell思路1.通过SQL查询分析器通过sa权限首先恢复xp_cmdshell存储过程。2.通过SQLTools2.0连接数据库,执行命令,查看网站路径以及磁盘文件,获取网站的真实路径。3.echo生成一句话后门。4.直接获取webshell权限。5.如果echo生成的一句话后门无法执行,可以通过查..
分类:
Web程序 时间:
2017-05-15 22:28:14
阅读次数:
163
本次实验的目标是让学生获得远程DNS缓存中毒攻击的第一手经验。DNS(Domain Name System)是互联网的电话簿,其将主机名转换为IP地址,反之亦然。这个转换通过DNS解析完成,且对用户是...
分类:
系统相关 时间:
2017-05-15 10:46:51
阅读次数:
355
20145306 网络攻防 web安全基础实践 实验内容 使用webgoat进行XSS攻击、CSRF攻击、SQL注入 XSS攻击:Stored XSS Attacks、Reflected XSS Attacks CSRF攻击:Cross SSite Request Forgery(CSRF)、CSR ...
分类:
Web程序 时间:
2017-05-14 13:40:37
阅读次数:
277
文件上传漏洞 用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。 文件上传可能存在的安全问题: (1)上传文件为 Web 脚本,服务器的 Web 容器解释并执行了该脚本,导致代码执行——webshell; (2)上传文件是 Flash 的策略文件 crossdomain. ...
分类:
Web程序 时间:
2017-05-13 14:28:38
阅读次数:
260
Collabtive 系统 SQL 注入实验 实验介绍 SQL注入技术是利用web应用程序和数据库服务器之间的接口来篡改网站内容的攻击技术。通过把SQL命令插入到Web表单提交框、输入域名框或页面请求框中,最终欺骗服务器执行恶意的SQL命令。 在这个实验中,我们使用的web应用程序称为Collabt ...
分类:
其他好文 时间:
2017-05-12 15:38:07
阅读次数:
176
提权就是让普通用户拥有超级用户的权限。本次试验漏洞适用于RHELt或CenOS系列5~6系列所有版本。主要利用/tmp/目录和/bin/ping命令的权限漏洞进行提权。试验环境:腾讯云CentOS6.8内核:2.6.32-642.6.2.el6.x86_641.查看系统环境2.创建普通用户进行权限测试3.开始提权操作写一段..
分类:
系统相关 时间:
2017-05-12 09:34:12
阅读次数:
444
本人一直在做Linux和MySQL运维多年,积累了一定的从业经验,希望招募如下人员,共同做一些事情。招募需求:A:资深php程序员,最好懂前端,包括但不限于html,css,js,ajax,php以及MySQL。最好是再懂一点Linux。B:资深前端或者UIC:WEB渗透专业人员如有需要请发邮件到1371806092..
分类:
其他好文 时间:
2017-05-11 09:19:39
阅读次数:
127
转自i春秋 文章难易度:★★ 知识点:python、编码转换 前 言 在日常渗透,漏洞挖掘,甚至是CTF比赛中,会遇到各种编码,常常伴随着这些编码之间的各种转换。记得刚入门那个时候,自己处理编码转换问题往往是“百度:url解码、base64加密、hex……”,或者是使用一款叫做“小葵多功能转换工具” ...
分类:
编程语言 时间:
2017-05-09 13:41:10
阅读次数:
257
签到
brian(Y)
WEB
刮刮乐
PHPMyWIND
后台
thinkseeker
PWN
pwn1
pwn2
pwn4
pwn5
分类:
其他好文 时间:
2017-05-07 23:06:03
阅读次数:
1138
