摘要: 关于Linux系统使用Python3多线程执行Nmap导致shell无法换行BUG #背景 在使用python编写脚本时,发现运行完毕后shell出现异常,使用Xshell与腾讯云控制台测试后,均存在该问题,排除Xshell出现BUG,后编写代码进行测试 #正常多线程 #加锁 #0.5s延迟 #2s 阅读全文
posted @ 2022-01-17 11:44 Snowieee 阅读(139) 评论(0) 推荐(0) 编辑
摘要: Springboot heapdump信息泄露以及MAT分析 #1. Springboot信息泄露 ##1.1 可能泄露路由列表 /api-docs /v2/api-docs /swagger-ui.html /api.html /sw/swagger-ui.html /api/swagger-ui 阅读全文
posted @ 2021-11-16 15:54 Snowieee 阅读(8868) 评论(0) 推荐(2) 编辑
摘要: CSRF漏洞跨域携带cookie问题 #1. CSRF漏洞 用户在登录A网站www.a.com,获取会话凭证sessionid,记录在Cookie中 此时用户在同一窗口中打开新标签页网站Bwww.b.com,网站B中含有恶意请求,请求内容为网站A中的接口 在用户打开网站B后,浏览器会自动发起请求,这 阅读全文
posted @ 2021-07-26 15:00 Snowieee 阅读(2837) 评论(0) 推荐(4) 编辑
摘要: HACK TEH BOX - Under Construction(JWT密钥混淆 + SQL注入) #1. JWT密钥混淆 JWT的组成一般分为三部分,{算法}.{payload}.{签名},例如加密函数中jwt.sign(data, privateKey, { algorithm:'RS256' 阅读全文
posted @ 2021-04-23 14:16 Snowieee 阅读(866) 评论(0) 推荐(1) 编辑
摘要: Nginx解析漏洞复现以及哥斯拉连接Webshell实践 #1. 环境 kali linux docker+vulhub nginx(1.19.6)+php(7.4.15) #2. 过程 ##2.1 vulhub镜像拉取 vulhub安装的话去官网上有安装教程 https://vulhub.org/ 阅读全文
posted @ 2021-03-03 16:27 Snowieee 阅读(3256) 评论(2) 推荐(1) 编辑
摘要: Redis未授权访问实现SSH免密登录 #1. 环境简介 ##1.1 物理环境 攻击主机(kali linux) 靶机(CentOS 7) ##1.2 网络环境 Kali:192.168.32.128 CentOS:192.168.32.129 ##1.3 工具 Kali:Redis+SSH Cen 阅读全文
posted @ 2021-02-19 17:52 Snowieee 阅读(1029) 评论(0) 推荐(0) 编辑
摘要: Fastjson1.2.24 #1. 环境简介 ##1.1 物理环境 Docker+vulhub+fastjson1.2.24靶机容器(kali linux) RMI/LDAP服务器(eclipse+jdk1.8.0_181) 文件服务器(Python3快速http服务) ##1.2 网络环境 wi 阅读全文
posted @ 2021-01-28 16:04 Snowieee 阅读(1060) 评论(4) 推荐(1) 编辑
摘要: Crunch #1. 简介 Crunch可以根据用户指定的输入生成字典列表,并且可以输出到终端、文件中或项目中。 #2. 命令格式 crunch <min-len> <max-len> [<charset string>] [options] <min-len> <max-len>最小和最大字符串的 阅读全文
posted @ 2020-11-17 11:52 Snowieee 阅读(427) 评论(0) 推荐(0) 编辑
摘要: HTTP状态码 #1. 1XX 信息。服务器接受请求,需要请求者继续执行操作。 ## 100 客户端应当继续发送请求。这个临时响应是用来通知客户端它的部分请求已经被服务器接收,且仍未被拒绝。客户端应当继续发送请求的剩余部分,或者如果请求已经完成,忽略这个响应。服务器必须在请求完成后向客户端发送一个最 阅读全文
posted @ 2020-10-27 17:32 Snowieee 阅读(208) 评论(0) 推荐(0) 编辑
摘要: Nmap #1. 功能 Nmap(“ Network Mapper ”)是用于网络探索和安全审核的开源工具。尽管它可以在单个主机上正常运行,但它可以快速扫描大型网络。Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机,这些主机提供的服务(应用程序名称和版本),它们正在运行的操作系统(和OS 阅读全文
posted @ 2020-10-20 10:05 Snowieee 阅读(222) 评论(2) 推荐(1) 编辑