2025年7月11日
solar月赛6月
摘要: solar月赛6月 nginx-proxy 题目描述 粗心的技术从第三方网站下载了开源环境,但是这个好像是被投毒了,容器中的后门文件是哪个?请寻找后门,并找到后门文件的函数名称提交。(FLAG无需flag{}包裹,如function abc() 提交abc即可。) 在app目录下的docker-en 阅读全文
posted @ 2025-07-11 15:50 yk1ng 阅读(1) 评论(0) 推荐(0)
2025年7月6日
vulntarget-b
摘要: vulntarget-b 配置 centos 192.168.158.169 10.0.20.30 Win10域成员 IP1:10.0.20.66 IP2:10.0.10.99 Win2016域控 IP1:10.0.10.100 信息收集 1、namp扫描 扫端口 nmap -sT --min-ra 阅读全文
posted @ 2025-07-06 09:31 yk1ng 阅读(6) 评论(0) 推荐(0)
2025一带一路金砖企业信息安全大赛-应急响应(ak)
摘要: 金砖应急响应 东部(ak) ssh root@ip 1、黑客跳板机ip地址,与受到攻击服务 先netstart -tnlp查看开启了哪些服务 看到开启了80,以及6379redis redis拿shell的三种方法 写ssh私钥,公钥链接 知道web路径,写webshell 写计划任务反弹shell 阅读全文
posted @ 2025-07-06 09:16 yk1ng 阅读(3) 评论(0) 推荐(0)
API测试
摘要: API testing API testing(API 测试) API(应用程序编程接口)使软件系统和应用程序能够通信和共享数据。 所有动态网站都由 API 组成,因此 SQL 注入等经典 Web 漏洞可以归类为 API 测试 发现 API 文档 API文档:通常记录 API,以便开发人员知道如何使 阅读全文
posted @ 2025-07-06 09:15 yk1ng 阅读(3) 评论(0) 推荐(0)
CSRF
摘要: Cross-site request forgery (CSRF) 跨站请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们无意中执行的操作。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。 攻击者伪造一个URL诱使用户进行点击,让用户执行无意中的操作(如:修改 阅读全文
posted @ 2025-07-06 09:14 yk1ng 阅读(4) 评论(0) 推荐(0)
JWT
摘要: JWT attacks JWT 通常用于身份验证、会话管理和访问控制机制,这些漏洞可能会危及整个网站及其用户 什么是JWT JSON web tokens (JWTs) JSON Web tokens(JWT)是一种用于在系统之间发送加密签名 JSON 数据的标准格式 理论上,它们可以包含任何类型的 阅读全文
posted @ 2025-07-06 09:14 yk1ng 阅读(4) 评论(0) 推荐(0)
2025年6月16日
红日3
摘要: 红日3 环境配置 web-centos 192.168.158.173 192.168.93.100 web1-ubuntu 192.168.93.120 win2008 192.168.93.20 windows server 2012 192.168.93.10 pc 192.168.93.30 阅读全文
posted @ 2025-06-16 17:20 yk1ng 阅读(5) 评论(0) 推荐(0)
2025年6月3日
vulntarget-k
摘要: vulntarget-k 配置 点击添加网络,添加两张网卡,选择VMnet16、VMnet17, 设置VMnet16 子网IP 192.168.100.0 子网掩码255.255.255.0 设置VMnet17 子网IP 192.168.88.0 子网掩码255.255.255.0 随后登录外网机( 阅读全文
posted @ 2025-06-03 09:07 yk1ng 阅读(21) 评论(0) 推荐(0)
2025年4月25日
近源
摘要: 近源攻击 挑战 前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。 1.攻击者的外网IP地址 2.攻击者的内网跳板IP地址 3.攻击者使用的限速软件的md5大写 4 阅读全文
posted @ 2025-04-25 01:56 yk1ng 阅读(16) 评论(0) 推荐(0)
2025年4月24日
easy溯源
摘要: easy溯源 挑战内容 攻击者内网跳板机IP地址 攻击者服务器地址 存在漏洞的服务(提示:7个字符) 攻击者留下的flag(格式zgsf{}) 攻击者邮箱地址 攻击者的ID名称 相关账户密码 zgsfsys/zgsfsys 攻击者内网跳板机IP地址 打开宝塔日志 找到攻击流量 可以确定这个是内网的跳 阅读全文
posted @ 2025-04-24 13:25 yk1ng 阅读(15) 评论(0) 推荐(0)
下一页