VICE

摘要： 前言 内网穿透，也即 NAT 穿透，进行 NAT 穿透是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机 ###环境需求 一台公网服务器(linux操作系统) 一台内网主机服务器(linux操作系统) //我用的kali Finalshell程序 win 阅读全文

摘要： jdk环境搭建 首先要有java环境，然后安装两个不同版本的jdk，我这里就使用java8和java15 CLASSPATH .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar JAVA_HOME %JAVA_HOME8% //默认使用java8 J 阅读全文

摘要： 前言 序列化是将变量或对象转换成字符串的过程 反序列化就是把一个对象变成可以传输的字符串，目的就是为了方便传输 而反序列化漏洞就是，假设，我们写了一个class，这个class里面存有一些变量。当这个class被实例化了之后，在使用过程中里面的一些变量值发生了改变，之所以会产生反序列化漏洞是因为应用 阅读全文

摘要： ##前言 Active Directory 域服务，是一种目录服务，提供了存储目录数据信息以及用户相关的一些密码，电话号码等等一些数据信息，且可让用户和管理员使用这些数据，有利于域管理员对用户的数据信息进行管理。 AD CS (Active Directory Certipy Server)是允许你 阅读全文

摘要： 安装pip 首先安装setuptools，setuptools是 Python Enterprise Application Kit（PEAK）的一个副项目，它 是一组Python的 distutilsde工具的增强工具（适用于 Python 2.3.5 以上的版本 wget https://pyp 阅读全文

摘要： 前言 AWVS是一款强大的web漏洞扫描工具，扫描速度快，可针对特定的漏洞进行扫描测试，用于在按全人员对指定企业进行安全扫描以及测试人员对web应用检测漏洞。 ###AWVS使用以及功能介绍 这里介绍的是使用老版本Acunetix_13漏洞扫描器 点击左边功能框的Target中的Add Target 阅读全文

摘要： 前言 SQL注入的原理是对web请求，表单或域名等提交查询的字符串没有进行安全检测过滤，攻击者可以拼接执行恶意SQL命令，导致用户数据泄露 漏洞原理 Django 组件存在 SQL 注入漏洞，该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足，攻击者可利用该漏洞在未授权的 阅读全文

摘要： 前言 不管是在学习php开发还是在学习代码审计，都离不开phpstorm的调试，这款工具的开发极大地便利了程序员以及安全人员的调用，因此学会如何去使用phpstorm调试是必备的一项技能。 环境准备 phpstudy 2018 phpstorm 2021.3 一个普通的登录页面 环境搭建与调试配置 阅读全文

摘要： 前言 一次“夺旗”练习，涵盖了许多不同的技巧。 背后的故事：骗子正在利用人们，各种假冒购物网站已经建立起来，但人们发现他们的订单从未到达。我们发现了一个诈骗网站，我们认为该网站正在从受害者那里获取信用卡信息。您的目标是通过获得root访问权来删除欺诈网站，并识别其服务器上的3个标志。我们的情报显示， 阅读全文

摘要： 前言 未授权访问漏洞简写是SSRF(Server-Side Request Forgery:服务器端请求伪造),是一种服务器端提供了可以从其他服务器获取资源和数据的功能，但没有对目标地址进行过滤和限制，导致可以任意访问服务器端获取数据资源的漏洞，我们本次复现用到的是discuz+redis的环境 R 阅读全文