上一页 1 2 3 4 5 6 7 8 9 ··· 13 下一页
2024年3月6日
内网渗透基础
摘要: 工作组 工作组是计算机最简单的资源管理模式。默认情况下,计算机采用工作组模式进行资源管理,且都处于在名为WORKGROUP的工作组中,在命令提示符执行systeminfo命令,如果输出结果中的"域"信息部分显示为WORKGROUP,则证明当前主机处于工作组而非某个域中。 由于工作组是一种松散的资源管 阅读全文
posted @ 2024-03-06 10:09 kalixcn 阅读(54) 评论(0) 推荐(0)
2024年3月2日
HTTP请求走私
摘要: HTTP请求走私简介 HPPT请求走私是一种干扰网站处理HTTP请求系列方式的技术,请求走私大多发生于前端服务器对客户端传入的数据理解不一致的情况。这是因为HTTP规范提供了两种不同的方法来指定请求的结束位置,即Content-Length和Transfer-Encoding标头。 分类 CLTE: 阅读全文
posted @ 2024-03-02 17:43 kalixcn 阅读(138) 评论(0) 推荐(0)
2024年2月18日
Web技术演化
摘要: Web技术演化 1. 简单网站 静态页面 Web技术在最初阶段,网站的主要内容是静态的,大多站点托管在ISP上,由文字和图片组成,制作和表现形式也是以表格为主。 多媒体阶段 随着技术的不断发展,音频、视频、Flash等多媒体技术诞生了。 CGI阶段 CGI定义了Web服务器与外部应用程序之间的通信接 阅读全文
posted @ 2024-02-18 16:48 kalixcn 阅读(45) 评论(0) 推荐(0)
2024年2月2日
解析漏洞
摘要: Web容器解析漏洞简介 Web容器解析漏洞会将其他类型的文件当作脚本语言的文件进行解析,执行其中的代码。一般,在利用解析漏洞时都要配合文件上传的功能。 1. Apache解析漏洞 在Apache1.x和2.x版本中,Apache可以识别多个文件扩展名。如果文件存在多个扩展名,Apache会从后向前开 阅读全文
posted @ 2024-02-02 17:29 kalixcn 阅读(106) 评论(0) 推荐(0)
中间件漏洞
摘要: 中间件漏洞 IIS服务器漏洞 IIS文件上传漏洞 IIS6.0 PUT上传漏洞是比较经典的ISS漏洞,如果IIS开启了PUT上传方法,就可以利用此方法上传任意文件,因此,该漏洞危害极大。 漏洞产生原因 IIS6.0 PUT上传漏洞产生的原因 IIS Server在WEB服务扩展中开启了WebDAV 阅读全文
posted @ 2024-02-02 16:49 kalixcn 阅读(159) 评论(0) 推荐(0)
XEE漏洞
摘要: XXE漏洞简介 XXE(XML External Entity,XML外部实体注入)漏洞产生的原因是:应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网应用等危害。 XML基础 XML(eXtensible Markup Languag 阅读全文
posted @ 2024-02-02 10:30 kalixcn 阅读(122) 评论(0) 推荐(0)
SSRF漏洞
摘要: SSRF意为服务端请求伪造(Server-Side Request Forge)。攻击者利用SSRF漏洞通过服务器发起伪造请求,这样就可以访问内网的数据,进行内网信息探测或者内网漏洞利用。 SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能,但是对服务器的地址并没有做严格的过滤,导 阅读全文
posted @ 2024-02-02 09:36 kalixcn 阅读(66) 评论(0) 推荐(0)
命令执行绕过
摘要: 开放人员在开发的过程中,为了避免命令执行漏洞,可能会过滤一些命令或者比较常见的攻击payload。攻击者会通过多种方式绕过过滤规则。 绕过空格过滤 1. ${IFS}绕过 $IFS是shell的特殊环境变量,是Linux下的内部域分分隔符。$IFS中存储的值可以是空格、制表符、换行符或者其他自定义符 阅读全文
posted @ 2024-02-02 08:54 kalixcn 阅读(1366) 评论(0) 推荐(0)
2024年1月29日
sql注入学习
摘要: SQL注入分类 SQL注入按照类型分为数字型注入和字符型注入。注入点的数据类型为数字型时为数字型注入,注入点的数据类型为字符型为字符型注入。 SQL注入按照服务器返回信息是否显示分为报错注入和盲注。如果在注入的过程中,程序将获取的信息或者报错信息直接显示在页面中,这样的注入为报错注入;如果在注入的过 阅读全文
posted @ 2024-01-29 09:00 kalixcn 阅读(295) 评论(0) 推荐(0)
2024年1月19日
CVE-2023-46604
摘要: Apache ActiveMQ OpenWire 协议反序列化命令执行漏洞(CVE-2023-46604) Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持java消息服务、集群、Spring Framework等。 OpenWire协议在Ac 阅读全文
posted @ 2024-01-19 17:21 kalixcn 阅读(2058) 评论(0) 推荐(0)
上一页 1 2 3 4 5 6 7 8 9 ··· 13 下一页