点击上方蓝字 关注安全知识 引 言 一开始会问问你在工作中负责的是什么工作(如果在职),参与过哪些项目。还有些会问问 你之前有没有护网的经历,如果没有的话一般都会被定到初级(技术特牛的另说)。下面就 ...
靶场攻略 | 记一次实验靶场练习笔记
前两天朋友分享了一个实验靶场,感觉环境还不错,于是对测试过程进行了详细记录,靶场中涉及知识点总结如下:War包制作regeorg内网代理工具的使用UDF漏洞利用Struts2-012漏洞利用Msfve...
深度剖析GadgetInspector执行逻辑(上)
GadgetInspector 该类是这个项目的主类 首先就是配置日志格式 这里是使用的log4j进行控制台日志的输出,分别设置了了布局格式 / 日志级别 / 激活配置 等等操作 之后在主类中就是进行...
实战 | 记一次Spring boot任意文件上传
前提:在一次项目中获取了一套通用系统框架是Spring boot启动是War包启动之前拿是通过替换私钥拿的,但小部分还是没开公钥登录这时候就有人说为什么不通过写在定时任务反弹shell也试过,不会返回...
实战|一次不完美的Jboss渗透
一.前言最近做渗透测试中遇到一个jboss的站,在其中学到一些在乙方工作挺有用的技巧(这次测试是进过授权测试)在次分享一下二.信息收集先通过namp进行扫描,同时进行目录扫描,发现8080/jmx-c...
Tomcat弱口令&后台getshell漏洞
一、漏洞介绍Tomcat服务自带一个管理界面,URL为:http://yuor-ip:8080/manager/html,在tomcat8默认安装下,tomcat中没有任何用户,且该URL只允许本地的...
实战 | 记一次低版本的tomcat拿shell经历
在某次红蓝对抗中,发现目标低版本的tomcat弱口令,但是常规的war包无法上传。环境介绍linuxtomcat6.0过程war包上传直接修改后缀,尝试war包上传。发现未成功部署,显示false。点...
一个 程序员 的水平能差到什么程度?尼玛,都是人才呀... ...
来自:知乎,作者:Benny链接:https://www.zhihu.com/question/314644210昨天在公司摸鱼逛知乎的时候,看到了一个话题“一个程序员的水平能差到什么程度?”,看完,...
Tomcat漏洞复现
漏洞环境Tomcat环境:链接:https://pan.baidu.com/s/1L95660-znIqtz8PpVJU62w提取码:gbli端口扫描工具:链接:https://pan.baidu.c...
实战之低版本tomcat-getshell
前言某次红蓝对抗中,发现目标低版本的tomcat弱口令,但是常规的war包无法上传。祝各位表哥国庆节假期快乐。环境介绍linux tomcat6.0过程-上传war包直接修改后缀,尝试war包上传。发...
Weblogic从弱口令到getshell漏洞复现
漏洞环境Fofa搜weblogic漏洞危害Get shell影响版本存在控制台登录的所有版本漏洞复现查看目标站weblogic版本弱口令weblogic/weblogic进入后台上传war包,War包...
由Webshell溯源攻击者的入侵途径
前不久接到一次应急响应任务,某集团的网站被种植了后门,我们的工作就是查找攻击者的入侵途径,分析网站存在的安全问题,并清除掉网站上所有的webshell,并找到攻击者的ip地址。本次任务的难点在于,管理...