2022年3月
渗透测试需要需要学什么?信息收集工具之Nmap
摘要: “渗透的本质就是信息收集的过程”,信息收集对于渗透测试前期来说是非常重要的。 信息收集是信息得以利用的第一步,也是关键的一步。可以通过各种方式来获取所需要的信息,信息收集工作的好坏,直接关系到整个工作完成的质量。 信息收集分为主动信息收集和被动信息收集,这篇文章中,雨笋君教大家如何使用主动信息收集中 阅读全文
posted @ 2022-03-08 11:04 小牛在行动 阅读(168) 评论(0) 推荐(0)
90分的机房长什么样?(三)
摘要: 还记得之前雨笋君分享过的《90分的机房长什么样?(一、二)》系列内容吧,本篇继续为大家讲解另外四方面测评标准。 1、防静电l 机房应铺设防静电地板或地面,并且地板进行安全接地处理。常见的静电地板包括:PVC防静电地板、铝合金防静电地板、架空防静电地板、陶瓷防静电地板、全钢防静电地板等。 l 机房应该 阅读全文
posted @ 2022-03-01 16:20 小牛在行动 阅读(111) 评论(0) 推荐(0)
2022年2月
更新Kali的Metasploit框架,这些过程千万不要踩雷!
摘要: 本篇文章为大家分享在更新kali的Metasploit框架过程中容易踩的坑,已帮各位实践,下次更新时可避免。 Kali就不做过多介绍了,初学者一般都知道它的作用,就简单介绍Metasploit是一款免费可下载的框架,通过它可以很容易地获取开发并针对软件漏洞尝试攻击,它本身附带数千个已知软件漏洞的专业 阅读全文
posted @ 2022-02-24 10:09 小牛在行动 阅读(815) 评论(0) 推荐(0)
想学网络安全,不知从哪下手,学习集锦奉上!
摘要: 想学网络安全,不知道学习方向?雨笋君整理了一份渗透测试学习方法,话不多说,上干货。 web安全知识学习(理论期) 学习web安全基础知识、html语言、python、java、数据库等等。另外端口也可以学习一下3306、3389等端口的利用。(具体可以参考雨笋教育课程学习路线内容) web基础/渗透 阅读全文
posted @ 2022-02-11 15:49 小牛在行动 阅读(817) 评论(0) 推荐(0)
2022年1月
GitLab 远程命令执行漏洞复现CVE-2021-22205
摘要: 雨笋教育小编今天分享我们工程师发布的关于GitLab 远程命令执行漏洞复现的一篇技术干货,分享给你们一起学习。 GitLab 官方发布安全补丁更新修复了GitLab命令执行漏洞(CVE-2021- 22205)。由于GitLab中的ExifTool没有对传⼊的图像文件的扩展名进行正确处理,攻击者通过 阅读全文
posted @ 2022-01-10 16:47 小牛在行动 阅读(801) 评论(0) 推荐(0)
ElasticSearch 命令执行漏洞(CVE-2014-3120)
摘要: 2022年的第一个工作日,雨笋教育小编如约而至,又来给大家分享一篇关于Elasticsearch搜索引擎的漏洞复现分析,新的一年学习也要更进一步呀,详细请看下文。 0x00前言 Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎 阅读全文
posted @ 2022-01-04 17:06 小牛在行动 阅读(295) 评论(0) 推荐(0)
2021年12月
Drupal漏洞复现:CVE-2019-6341
摘要: 近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣 前言: Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 好哥哥,你等会,你刚才讲的do 阅读全文
posted @ 2021-12-30 16:40 小牛在行动 阅读(541) 评论(0) 推荐(0)
rsync 未授权访问漏洞
摘要: 0x00前言 rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。 0x01漏洞原理 rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件。 0x02漏洞危害 rsync未授权访问会造成严 阅读全文
posted @ 2021-12-28 17:33 小牛在行动 阅读(464) 评论(0) 推荐(0)
注册网络安全等级测评工程师认证培训通知!不需要交社保也可报考
摘要: 网络空间的竞争,归根结底是人才竞争。为提升我国网络安全人才培养能力,缓解网络安全人才供需难题,雨笋教育与方班网安人才教育服务中心开展深度合作并获得授权,联合开发了中国网络空间安全人才教育论坛(网教盟)注册网络安全等级测评工程师认证证书。共同开展网络安全人才技能认证服务,帮助企业专业识别和精准合理利用 阅读全文
posted @ 2021-12-17 10:50 小牛在行动 阅读(818) 评论(0) 推荐(0)
内网常见软件密码收集
摘要: 0x00 前言 一般拿到服务器权限后,总需要收集一些运维或网管机子上的密码信息,方便后面横向渗透。 0x01 获取tortoiseSVN连接密码 tortoiseSVN客户端连接记录文件位置: %userprofile%\AppData\Roaming\Subversion\auth\svn.sim 阅读全文
posted @ 2021-12-16 17:24 小牛在行动 阅读(1566) 评论(0) 推荐(0)