喜迎
春节
开摆
开始阅读 Github
  网络安全法
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。-----第二十七条
2024 2024
以下漏洞均来源于互联网 泛微泛微Ecology任意文件写入 漏洞类型 涉及版本 利用路径 处置建议 情报获取时间 0day/1day/nday RCE 8.0(10.65以下)9.0(10.62以下) 未知 使用/securit
2024-08-14 漏洞整理
HVV
CMS漏洞 CMS漏洞
CMSAspCMSAspCMS commentList.asp SQL注入漏洞漏洞描述AspCMS commentList.asp 存在SQL注入漏洞,攻击者通过漏洞可以获取管理员md5的密码 漏洞影响AspCMS 网络测绘app=”AS
2024-08-14 漏洞整理
漏洞整理
DevOps工具漏洞 DevOps工具漏洞
DevOpsApache-SkyWalkingCVE-2020-9483Apache SkyWalking graphql SQL注入漏洞漏洞描述腾讯安全威胁情报中心监测到Apache SkyWalking发布更新,修复了一个SQL注入漏
2024-08-14 漏洞整理
漏洞整理
OA漏洞 OA漏洞
OAO2OAO2OA invoke 后台远程命令执行漏洞 CNVD-2020-18740漏洞描述O2OA是一款开源免费的企业及团队办公平台,提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程
2024-08-14 漏洞整理
漏洞整理
Web服务器与中间件漏洞 Web服务器与中间件漏洞
web服务器与中间件Apache-activemqCVE-2015-5254ActiveMQ 反序列化漏洞(CVE-2015-5254)Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支
2024-08-14 漏洞整理
漏洞整理
Web框架漏洞 Web框架漏洞
Web框架Apache-OFBizApache OFBiz RMI反序列化漏洞 CVE-2021-26295漏洞描述OFBiz是基于Java的Web框架,包括实体引擎,服务引擎和基于小部件的UI。 近日,Apache OFBiz官方发布安
2024-08-14 漏洞整理
漏洞整理
服务器设备漏洞 服务器设备漏洞
容器化与云服务Go-fastdfsGetClientIp 未授权访问漏洞漏洞描述Go-fastdfs GetClientIp方法存在XFF头绕过漏洞,攻击者通过漏洞可以未授权调用接口,获取配置文件等敏感信息 漏洞影响Go-fastdfs
2024-08-14 漏洞整理
漏洞整理
数据处理与可视化工具漏洞 数据处理与可视化工具漏洞
数据处理与可视化airflowCVE-2020-11978Apache Airflow 示例dag中的命令注入(CVE-2020-11978)Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例
2024-08-14 漏洞整理
漏洞整理
数据库及工具漏洞 数据库及工具漏洞
数据库及管理工具adminerCVE-2021-21311Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞(CVE-2021-21311)Adminer是一个PHP编写的开源数据库管理工具,支持M
2024-08-14 漏洞整理
漏洞整理
文件处理与管理工具漏洞 文件处理与管理工具漏洞
文件处理与管理aria2rceAria2 任意文件写入漏洞Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在
2024-08-14 漏洞整理
漏洞整理
服务器设备漏洞 服务器设备漏洞
网络设备与工具dnsdns-zone-transferDNS域传送漏洞DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。 参考
2024-08-14 漏洞整理
漏洞整理
管理系统漏洞 管理系统漏洞
企业级软件与服务1Panel1Panel loadfile 后台文件读取漏洞漏洞描述1Panel 后台存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感信息文件 漏洞影响1Panel 网络测绘“1Panel” 漏洞复现登陆页面
2024-08-14 漏洞整理
漏洞整理
编程语言及脚本工具漏洞 编程语言及脚本工具漏洞
编程语言bashCVE-2014-6271Bash Shellshock 破壳漏洞(CVE-2014-6271)编译运行: docker compose up -d 服务启动后,有两个页面http://your-ip:8080/vict
2024-08-14 漏洞整理
漏洞整理
网络与安全设备漏洞 网络与安全设备漏洞
IOTACTIACTI 视频监控 images 任意文件读取漏洞漏洞描述ACTI 视频监控 存在任意文件读取漏洞 漏洞影响ACTI摄像头 网络测绘app=”ACTi-视频监控” 漏洞复现登录页面如下 使用Burp抓包 /images/.
2024-08-14 漏洞整理
漏洞整理
命令执行 命令执行
命令注入漏洞原文:201-A9-命令注入 · Farmsec Open Source (fsec.io) 1.1 漏洞信息1.1.1 漏洞成因应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec
2023-04-25 基础
漏洞基础
文件包含 文件包含
文件包含漏洞原文: 201-A10-文件包含漏洞(上) · Farmsec Open Source (fsec.io) 201-A11-文件包含漏洞(下) · Farmsec Open Source (fsec.io) 1. 漏洞产生原理
2023-04-25 基础
漏洞基础
CSRF CSRF
原文:201-A6-CSRF漏洞 · Farmsec Open Source (fsec.io) csrf漏洞漏洞信息1. 漏洞简介CSRF ,全称 Cross-site request forgery ,翻译过来就是跨站请求伪造(客户端
2023-04-24 基础
漏洞基础
SQL注入 SQL注入
SQL注入原文: 201-A3-SQL注入(上) · Farmsec Open Source (fsec.io) 201-A4-SQL注入(中) · Farmsec Open Source (fsec.io) 201-A5-SQL注入(下
2023-04-24 基础
漏洞基础
XSS XSS
xss漏洞原文: 201-A7-XSS(上) · Farmsec Open Source (fsec.io) 201-A8-XSS(下) · Farmsec Open Source (fsec.io) 上1. 认识xssXSS又叫CSS
2023-04-24 基础
漏洞基础
无线WiFi安全渗透与防御 无线WiFi安全渗透与防御
一、无线安全环境搭建1.802.11标准1.概念802.11标准是1997年IEEE最初制定的一个WLAN标准,工作在2.4GHz开放频段,支持1Mbit/s和2Mbit/s的数据传输速率,定义了物理层和MAC层规范,允许无线局域网及无线
2023-04-17 无线
WiFi
应急响应 应急响应
本文章来自https://github.com/Bypass007/Emergency-Response-Notes 1. 入侵排查第1篇:windows 入侵排查0x00 前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件
2023-04-14 蓝队
应急响应
溯源 溯源
利用AntSword RCE进行溯源反制黑客一、漏洞原理由于蚁剑使用是html解析,并没有进行 XSS 保护过滤,html内容被解析了,导致xss漏洞。 二、复现更改webshell为 <?php header('HTTP/1.1
2023-04-11 蓝队
溯源
wireshark wireshark
Wireshark介绍1、wirshark介绍: Wireshark是一个网络封包分析软件。使用WinPCAP作为接口,直接与网卡进行数据报文交换。我们网络安全工程师或者软件工程师可以利用wireshark来进行分析网络。 wiresha
2023-04-11 工具
抓包工具
横向移动 横向移动
横向移动1. 利用远控工具向日葵横向移动向日葵介绍 向日葵远程控制软件是一款免费的集远程控制电脑/手机/平板、远程桌面连接、远程开机、远程管理、支持内网穿 透的一体化远程控制管理工具软件,且还能进行远程文件传输、远程摄像头监控等。 支持
2023-03-25 内网渗透
横向移动
java代码审计 java代码审计
代码审计1. 初识代码审计1.1 代码审计是什么代码审计(Code Audit)是一种以发现安全漏洞、程序错误和程序违规为目标的源代码分析技能。在实践过程中,可通过人工审查或者自动化工具的方式,对程序源代码进行检查和分析,发现这些源代码缺
2023-02-19 编程
代码审计
JS逆向 JS逆向
web js逆向web页面大家都不陌生,在web开发过程中后端负责程序架构和数据管理,前端负责页面展示和用户交互,有种不严谨的说法是:前端代码给浏览器看,后端代码给服务器看。 有开发经验的同学对前后端交互的理解会更深一点,在这种前后端分离
2023-01-30 逆向
Js逆向
权限维持 权限维持
windows权限维持1. 克隆账号权限维持隐藏用户维持 隐藏账户,顾名思义就是计算机不看不到的用户(不是不存在用户只是用一般的查看方式看不到) $符号隐藏用户 $符号隐藏用户就是在一个用户名后面添加$符号,如(hack$)达到简单的
2022-12-24 内网渗透
权限维持
Windows认证和密码的抓取 Windows认证和密码的抓取
Windows认证和密码的抓取1. Windows认证 本地认证 网络认证 域认证 密码抓取 SAM文件 Lsass.exe 2. Windows本地认证之NTML哈希和LM哈希本地认证的流程 Windows的登陆密码是存储在系统本
2022-12-09 内网渗透
Windows认证
ARP渗透与防御 ARP渗透与防御
一. ARP协议1. ARP协议工作原理什么是ARP地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议 工作原理ARP协议规定,每台计算机都需要一个ARP表,
2022-11-03 基础
arp欺骗
netcat使用方法 netcat使用方法
netcat简介Netcat 是一款简单的Unix工具,使用UDP和TCP协议,被称为网络工具中的”瑞士军刀”。它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。 使用它你可以轻易的建立任何连接。
2022-11-03 工具
监听工具
AWVS AWVS
第一节-AWVS安装与激活1.AWVS简介AWVS(Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,通过网络爬虫测试网站安全,检测流行的Web应用攻击,如跨站脚本、sql 注入等。据统计
2022-10-18 工具
漏扫工具
内网信息收集 内网信息收集
内网信息收集1. 内网信息收集 内网信息收集概述 手动收集本机信息 自动收集本地信息 内网IP扫面技术 内网端口扫描技术 域内基础信息收集 查找域控制器 查找域内用户信息 查找域管理员 查找域管理进程 powershell收集域内信息 敏
2022-10-08 内网渗透
内网信息收集
内网基础 内网基础
内网基础工作组介绍1、工作组的介绍在一个大型单位里,可能有成百上千台计算机互相连接组成局域网,它们都会列在”网络”(网上邻居) 内。如果不对这些计算机进行分组,网络的混乱程度是可想而知的 为了解决这一问题,产生了工作组(Work Grou
2022-10-07 内网渗透
内网基础
Clbalt Strike Clbalt Strike
Clbalt StrikeClbalt Strike的特点Clbalt Strike简称CS 用于团队作战使用,由一个服务端和多个客户端组成,能让多个攻击者这在一个团队服务器上共享目标资源和信息 CS有很多Payload的生成模块 可以生
2022-10-03 工具
内网渗透工具
Metasploit Metasploit
metasploitmsf基础入门metasploit发展史 Metasploit框架使Metasploit具有良好的可扩展性,它的控制接口负责发现漏洞、攻击漏洞,提交漏洞,然后通过一些接口加入攻击后处理工具和报表工具。Metasploi
2022-10-02 工具
渗透工具
信息收集 信息收集
信息收集也叫资产收集.信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息,子域名信息,目标网站信息,目标网站真实IP,敏感目录文件,开放端口和中间件信息等等,通过各
2022-08-17 渗透
信息收集
java高级 java高级
集合什么是算法和数据结构 算法:(1)可以解决具体问题 :例如 1+2+3+4+。。。+99+100解题流程=算法(2)有设计解决的具体的流程算法1: 1+2=3 3+3=6 6+4=10…..加到100 –》5050算法2:(1
2022-08-02 编程
java
nmap使用 nmap使用
一. 主机发现1. 扫描/综合扫描nmap -A 192.168.1.103 2. Ping扫描nmap -sP 192.168.1.1/24 3. 免Ping扫描,穿透防火墙,避免被防火墙发现nmap -P0 192.168.1.103
2022-07-30 工具
端口扫描工具
Java基础 Java基础
day1Java的课程体系: JBS:java basic Java基础 OOP:Java的面向对象编程 XHTML/CSS: 修饰网页的 JDBC:Java data base connection连接数据库的一种方式 DBCP:数据库
2022-07-04 编程
java
安全实验基础 安全实验基础
基础渗透00———-中华人民共和国刑法(第285,286条) 第二百八十五条 违反国家规定,入侵国家事务,国防建设,尖端科学技术领域的计算机信息技术系统,==处三年以下有期徒刑或者拘役==. 第二百八十六条 违反国家规定,对计算机信息
2022-06-25 基础
基础
MySQL MySQL
MySQL数据库基本概念 数据所谓数据(Data)是指对客观事物进行描述并可以鉴别的符号,这些符号是可识别的、抽象的。它不仅仅指狭义上的数字,而是有多种表现形式:字母、文字、文本、图形、音频、视频等。现在计算机存储和处理的数据范围十分广泛
2022-06-25 基础
MySQL
Linux Linux
Linux1.Linux操作系统根目录文件夹作用 目录 说明 备注 bin 存放普通用户可执行的指令 即使在单用户模式下也能够执行处理 boot 开机引导目录 包括Linux内核文件与开机所需要的文件 dev 设备目录
2022-06-25 基础
Linux
计算机网络 计算机网络
计算机网络前言第一章 计算机网络概述1. 计算机网络在信息时代的作用 网络(Network)由若干节点(Node)和连接这些节点的链路(Link)所组成. 网络中的节点可以是计算机,集线器,交换机或者路由器等. 多个网络还可
2022-06-25 基础
计算机网络
网络安全基础 网络安全基础
基础01———-IP地址详解- 1. 局域网:一般称为内网 1. 简单局域网的构成:交换机、网线、PC 1. 交换机:用来组建内网的局域网的设备 IP 地址 IP地址就是一个唯一标识,是一段网络编码 子网掩码
2022-06-25 基础
网络安全基础
python python
python life is short i use python 人生苦短 我用python 输入输出设计程序运行,屏幕上输出 请输入你的名字: allen 欢迎allen用户登录 name=input("请输入你的名字: ")
2022-06-25 编程
Python
Hello World Hello World
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hex
2022-06-23 吗喽の小屋