上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 51 下一页
2022年1月18日
30:WEB漏洞-RCE代码及命令执行漏洞全解
摘要: 思维导图 在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 代码执行演示 test.php脚本代码 eval( 阅读全文
posted @ 2022-01-18 09:05 zhengna 阅读(2709) 评论(0) 推荐(0)
2022年1月17日
84:CTF夺旗-PHP弱类型&异或取反&序列化&RCE
摘要: 思维导图 本课重点: 案例1:PHP-相关总结知识点-后期复现 案例2:PHP-弱类型对比绕过测试-常考点 案例3:PHP-正则preg_match绕过-常考点 案例4:PHP-命令执行RCE变异绕过-常考点 案例5:PHP-反序列化考题分析构造复现-常考点 案例1:PHP-相关总结知识点-后期复现 阅读全文
posted @ 2022-01-17 17:38 zhengna 阅读(1487) 评论(0) 推荐(2)
85:CTF夺旗-JAVA考点反编译&XXE&反序列化
摘要: 思维导图 Java常考点及出题思路 考点技术:xxe,spel表达式,反序列化,文件安全,最新框架插件漏洞等 设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式 CTF中常见Web源码泄露总结(参考:https://www.cnblogs.com/xishaonian/p/76281 阅读全文
posted @ 2022-01-17 17:38 zhengna 阅读(3895) 评论(0) 推荐(1)
83:CTF夺旗-Python考点SSTI&反序列化&字符串
摘要: 思维导图 必备知识点: 在大量的比赛真题复现中,将涉及到渗透测试的题库进行了语言区分,主要以 Python, PHP,Java为主,本章节将各个语言的常考点进行真题复现讲解。 CTF各大题型简介 MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大 阅读全文
posted @ 2022-01-17 17:36 zhengna 阅读(1612) 评论(0) 推荐(0)
82:红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报
摘要: 必备知识点: 在每年的安全活动中,红蓝队的职责,其中大部分强调学习红队技术,那么蓝队技术又有哪些呢?简要来说蓝队就是防守,涉及到应急、溯源、反制、情报等综合性认知和操作能力知识点。掌握红队攻击技术的前提下,蓝队技术能提升一个档次哦。 本课知识点: 认识ATT&CK框架技术 认识对抗的蜜罐技术的本质 阅读全文
posted @ 2022-01-17 17:29 zhengna 阅读(1332) 评论(0) 推荐(0)
81:红蓝对抗-AWD监控&不死马&垃圾包&资源库
摘要: 本课重点: 案例1:防守-流量监控-实时获取访问数据包流量 案例2:攻击-权限维持-不死脚本后门生成及查杀 案例3:其他-恶意操作-搅屎棍发包回首掏共权限 案例4:准备-漏洞资源-漏洞资料库及脚本工具库 案例1:防守-流量监控-实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 阅读全文
posted @ 2022-01-17 17:26 zhengna 阅读(1230) 评论(0) 推荐(0)
80:红蓝对抗-AWD模式&准备&攻防&监控&批量
摘要: 思维导图 AWD 常见比赛规则说明: Attack With Defence,简而言之就是你既是一个 hacker,又是一个 manager。 比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始分数,flag 被拿会被拿走 flag 的队伍均分 阅读全文
posted @ 2022-01-17 17:19 zhengna 阅读(3468) 评论(0) 推荐(0)
39:WEB漏洞-XXE&XML之利用检测绕过全解
摘要: 思维导图 知识点 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XX 阅读全文
posted @ 2022-01-17 17:08 zhengna 阅读(4616) 评论(0) 推荐(0)
2022年1月5日
2021年书单
摘要: 2021年书单: 01.吴军《格局》(2021.01.04读完) 02.乔治奥威尔《动物农场》(2021.01.12读完) 03.亦舒《喜宝》(2021.01.22读完) 04.傅雷《傅雷家书》(2021.01.26读完) 05.曹昇《流血的仕途·李斯与秦帝国》(2021.04.21读完) 06.亦 阅读全文
posted @ 2022-01-05 10:07 zhengna 阅读(240) 评论(0) 推荐(1)
2021年12月28日
38:WEB漏洞-反序列化之PHP&JAVA全解(下)
摘要: 思维导图 Java中的API实现: 位置: Java.io.ObjectOutputStream java.io.ObjectInputStream 序列化: ObjectOutputStream类 --> writeObject() 注:该方法对参数指定的obj对象进行序列化,把字节序列写到一个目 阅读全文
posted @ 2021-12-28 10:13 zhengna 阅读(1193) 评论(0) 推荐(1)
上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 51 下一页