摘要:
Kerberos协议一种网络身份验证协议,是一种在开放的非安全网络中认证并识别用户身份信息的方法,旨在使用密钥加密技术为客户端/服务端提供应用程序提供强身份验证 Kerberos本来是西方神话中守卫地狱之门的三头犬的名字,之所以使用这个名字,是因为该协议需要三方共同参与才能完成一次认证。 目前主流使 阅读全文
posted @ 2024-06-22 02:58
Yuy0ung
阅读(577)
评论(1)
推荐(1)
摘要:
NTLM(New Technology LAN Manager)协议是微软用于Windows身份验证的主要协议之一 早期SMB协议以明文口令的形式在网络上传递,存在安全性问题,进而出现了LM(LAN manager)协议,然而该协议因为太简单,还是容易被破解,微软进而提出了NTLM协议 NTLM协议 阅读全文
posted @ 2024-05-30 21:19
Yuy0ung
阅读(3154)
评论(3)
推荐(0)
摘要:
一、基础 随着云原生应用不断普及,我们在针对linux操作系统getshell之后,我们还需要判断该shell是否处于虚拟环境中,并判断该虚拟环境的类型,通常情况下,shell的虚拟环境可能有如下三个类型: 虚拟主机 虚拟主机是指在一台物理服务器上运行的多个虚拟主机实例,每个虚拟主机实例都拥有自己的 阅读全文
posted @ 2024-05-29 18:11
Yuy0ung
阅读(351)
评论(0)
推荐(0)
摘要:
我们在进入内网后,可以通过信息收集扩展攻击面,找到更多可能导致权限提升的入口点 服务器信息枚举 版本信息 查看系统版本号: ver 架构信息 获取到服务器架构信息,有助于后续选择对应的漏洞利用程序或编写exp和payload wmic os get osarchitecture 或 echo %PR 阅读全文
posted @ 2024-05-29 18:05
Yuy0ung
阅读(150)
评论(0)
推荐(0)
摘要:
关于pear pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的;在7.4及以后,需要我们在编译PHP的时候指定--with-pear才会安装 不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路 阅读全文
posted @ 2024-05-29 18:03
Yuy0ung
阅读(451)
评论(0)
推荐(0)
摘要:
拜读了d09gy师傅的文章,记录一下笔记 概述 ”服务器对脚本资源的理解差异,决定了服务器自身的安全性。“ 解析漏洞是由于Web Server自身缺陷或者其相关配置存在缺陷导致服务器在解析网站资源文件时,出现的与所应当解析成的资源类型不一致的一类安全问题 这个所谓的不一致主要体现在错误地将”普通“文 阅读全文
posted @ 2024-05-29 18:02
Yuy0ung
阅读(119)
评论(2)
推荐(0)
摘要:
考虑了安全性后决定是否启用的叫功能,不考虑安全性而无条件启用的是漏洞 目录浏览原本是服务器自带的一项配置,但如果网站目录下存放有敏感文件,则可能引发严重的危害 所有的web server都有可能存在目录浏览漏洞,对于Flask、spring这种动态路由框架而言,泄露的信息相对安全,但对于传统架构下的 阅读全文
posted @ 2024-05-29 18:01
Yuy0ung
阅读(197)
评论(0)
推荐(0)
摘要:
版本 php5.5.0以下 前置知识 有如下代码: <?php preg_replace("/test/e",$_GET["a"],"jutst test");?> 意为在 “this is a test” 字符串中找到 “test”,并将其替换为通过$_GET["a"]获取的代码执行结果 也就是说 阅读全文
posted @ 2024-05-29 18:00
Yuy0ung
阅读(291)
评论(0)
推荐(0)
摘要:
flask在debug模式下会生成一个Debugger PIN,比如: @ubuntu:~/Code/flask$ python3 app.py * Running on http://0.0.0.0:8080/ (Press CTRL+C to quit) * Restarting with st 阅读全文
posted @ 2024-05-29 18:00
Yuy0ung
阅读(243)
评论(0)
推荐(0)
浙公网安备 33010602011771号