域名到期,不是再见

不知不觉,这个域名也两年了,现在的博客已与当初渐行渐远,远到都不知道拿它来干嘛。特拧巴,工作、生活都有点,以至于没有精力和心情来更新~又续了两年,一是留个念想,二来或许过段时间又想写了呢,谁知道!

- 阅读全文 -

CTF中的AWD套路

今年参加了三起CTF比赛,属于初学者,基本除了web其他的不会,但分赛场AWD相对就没什么难度,基本都是技巧性。其中一场进入复赛了,本月底再次比赛(ctf题做的这么渣还能进也是绝了~),参照前人经验补充了一些总结下。一、AWD介绍AWD:Attack With Defence,即攻防对抗,比赛中每个队伍维护多台服务器(一般两三台,视小组参赛人数而定),服务器中存在多个漏洞(web层、系统层、中间件

- 阅读全文 -

Apache Solr远程命令执行

简介Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。此次漏洞主要是由于 Apache Solr VelocityResponseWrite 插件中 params.resource.loader.enabl

- 阅读全文 -

Nginx+PHP-FPM远程命令执行_CVE-2019-11043

漏洞描述此次漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 fastcgi_split_path_info 对应的正则表达式,导致传递给 PHP-FPM 的 PATH_INFO 值为空,从而触发该漏洞,通过发送特制的URL请求,在一些特殊的配置情况下会导致任意

- 阅读全文 -

phpstudy后门-命令执行

漏洞简介phpstudy是一款php调试环境集成工具,包含 apache、iis、nginx等中间件。本次为该软件被植入后门引发的远程命令执行,现实中很多站长还在使用类似的集成工具应用在现网环境里。影响范围目前已知的:Phpstudy 2016 版 php-5.4Phpstudy 2018 版 php-5.2.17Phpstudy 2018 版 php-5.4.45

- 阅读全文 -

Upload-Labs

环境upload-labs为上传漏洞测试,除了上传漏洞外,测试过程也依托中间件的解析漏洞,所以选用的不通中间件可能测试部分会有略微不同,我用的phpstudy,所以中间件是apache。靶机环境:https://github.com/c0ny1/upload-labs操作系统:windowsphp版本:推荐5.2.17(其他版本可能会导致部分Pass无法突破)php组件:php_gd2、php_e

- 阅读全文 -

网站公告

    此人很懒,没有什么要说的。

博客统计

  • 文章总数:26 篇
  • 评论总数:42 条
  • 最后更新:2020 年 03 月 18 日
  • 本次加载:26 ms

最新回复

  • 错票博客: 很能体会博主的心声,我以前也是因为一些阶段的疲累和迷茫,选择了半...
  • Mr.Chou: 没玩过那些平台,嘿嘿·
  • unclebryan: 博主你好,我的是搬瓦工vps,ip被封了 我按照教程尝试了,但是...
  • 心灵博客: 第三方都不靠谱,哪怕是大平台
  • 逆时针: 还有这样的平台吗?一会去看看
  • 十年之约项目组: 要坚持个人博客哦,记得自己带的十年之约,十年之约要求独立博客
  • 灰常记忆: 会经营不下去? 我给你推荐一款小鸡😂
  • 金博客: 平台能自带流量,对新博客有好处。
  • 心灵博客: 我就中招了。 我用的是2014版本,我确认它的5.2.17和5...
  • repostone: 非技术的路过。

分类

标签

其它