关于vulhub https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行一条命令即可编译、运行一个完整的漏洞靶场镜像。 简单来说就是为了方便安全研究人员复现和研 ...
分类:
其他好文 时间:
2020-12-31 12:32:43
阅读次数:
0
最近有涉及到第三方安全评测的问题,其中就包含了题目中所说的BashDoor漏洞。 BashDoor是什么? 维基百科: 我的理解是他能通过伪造一些请求头,然后获取到你服务器端的信息,甚至能进入服务器获取最高的权限。 贴一张网图: 可以看到他可以伪造请求头,然后获取到系统的信息。 实际问题: 请求头( ...
分类:
其他好文 时间:
2020-12-31 11:41:12
阅读次数:
0
接着上次GPG的结构,我继续使用Windows Ubuntu与虚拟机Linux Ubuntu (多次尝试后做成,桌面文件增添或缺失属正常现象,找关键文件就好。) 1,两机互通公钥 2.真机对学号文件是由des3加密为xuehao2.txt(忘了截了)。 获得加密后的文件 与 密钥,把密钥写入miya ...
分类:
其他好文 时间:
2020-12-29 11:42:43
阅读次数:
0
一、漏洞环境搭建 CVE-2018-2628影响的软件版本为: Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 需要准备的工具如下: 1.docker+vulhub漏洞库 2.ysoserial-cve- ...
分类:
Web程序 时间:
2020-12-29 11:25:43
阅读次数:
0
有的需求很重,有的应用很“轻”!-论低代码平台优劣势一、什么是低代码(无代码)低代码无代码开发说的是一回事,简单来讲就是不写代码让你能开发软件系统,你可以不用写代码也能完成你的软件开发梦。是不是有些夸张和嘘头?没办法,他已经实实在在的来了,而且各大厂商研发平台如火如荼,并有了非常广阔的市场,已经有了大量的公司尝鲜并给公司带来实实在在的价值,尤其是在互联网项目和中小企业的应用上。低代码其实自主代码量
分类:
其他好文 时间:
2020-12-29 11:25:08
阅读次数:
0
1 准备工作 1.1 下载openssl1.1.0g 地址: https://github.com/openssl/openssl/tree/OpenSSL_1_1_0g 1.2 安装perl 我使用的strawberry 版本号v5.28.2 地址:http://strawberryperl.co ...
天天都在说优化Dockerfile。到底怎么优化,优化后的检验指标又是什么?没有考虑清楚行动目的,隔空放炮,必然徒劳无功。笔者最近准备在CI上增加安全检测,在分析案例样本的时候,找到了比较流行的struts2漏洞,其中S2-052远程代码执行漏洞的利用方式就是在POST请求中添加恶意代码或命令。如Demo片段所示。<command><string>touch</str
分类:
系统相关 时间:
2020-12-25 13:21:15
阅读次数:
0
场景 有一批ARM板出来全都是同一个MAC地址: 08:00:27:00:01:92 这就导致获取的IP都是一样的,需要让他们启动后获取各自不一样的IP,因此每个板子都需要获得其自己的MAC地址(后三个BYTE区分身份): 08:00:27:XX:XX:XX 解决方案 用shell脚本来实现随机的M ...
分类:
系统相关 时间:
2020-12-24 12:01:41
阅读次数:
0
基于WEB应用扫描测试 被动式扫描 x-ray xray是一款主流的漏洞扫描器,其优势在于可以扫描以上几种漏洞,是其他漏洞扫描工具不常有的,常见漏洞也可以扫描,但是其他工具也可以扫描,特殊需求还是这个方便 https://xray.cool/xray/#/tutorial/introduce Git ...
分类:
其他好文 时间:
2020-12-24 11:38:26
阅读次数:
0
安全检查 流程分析 经分析,很容易知道这里的数组可以进行越界来修改返回地址的值 有后门函数 漏洞利用 通过数组溢出修改返回值,到达后门函数 不过我在本地打通后,远程打得时候发现没有后门函数也就是/bin/bash not found 当时有点懵逼,并且对linux命令不太熟悉的我,想了很久没结果后, ...
分类:
其他好文 时间:
2020-12-24 11:36:51
阅读次数:
0
