对XML外部实体引用的不当限制漏洞(xml外部参数实体格式)
一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择...
【HTB系列】靶机Querier的渗透测试(渗透测试靶机平台)
本文作者:是大方子(Ms08067实验室核心成员)总结与反思:1.收集信息要全面2.用snmp-check检查snmp目标是否开启服务3.smbmap尝试匿名用户anonymous来枚举目标的共享资源,可能会枚举成功4.使用...
『安全开发教学』Github泄露扫描系统开发(开源的漏洞扫描工具)
概述github敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中,github也是黑、白帽子、安全工...
域渗透基础(一)(域渗透流程)
域工作组(Work Group)工作组是局域网中的一个概念,由许多在同一物理地点,而且被相同的局域网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。...
安全攻城狮的大救星 | Savio-渗透测试报告自动生成工具
文章来源|MS08067 红队培训班 第2期本文作者:Mustard404(红队培训班2期学员)背景在安服仔的日子里,发现下面的人输出的渗透测试报告结果不规范,主要在报告质量、内容、字体、及修复方案中...
moloch 网络流量回溯分析系统
0x01 故事背景某一天的早上 你怀着愉快的心情来到公司,开始美好的 一天工作生活。有个业务后台的同事找到你说 昨天下班后有人反馈说访问他的业务后台有问题,他想分析网络层面的数据包看看,是...
勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节(勒索病毒wannacry主要传播端口)
一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模...
Linux横向移动手法-CSK靶机(linux 移动命令)
前言在Linux中横向移动手法相对Windows来说较少,相对来说我们只有利用SSH、web上的漏洞等较少方式去获得权限 在SSH协议中,连接到主机可采用两种登录方式:密码登录方式、密钥登录方式 密码登...
Spring Security 01 — Basic Introduction Part I
Spring Security 5.1.4 RELEASE对于使用Java进行开发的同学来说,Spring算是一个比较热门的选择,包括现在流行的Spring Boot更是能快速上手,并让开发者更好的关注业务核心的开发,而免去了原来...
使用树莓派低成本搭建一个小型渗透服务器?我办到了!(如何用树莓派搭建一个服务器)
前言本文提及的安全环境、工具和方法等仅供试用及教学用途,禁止非法使用,请于24小时内删除。之前本来在公众号写了篇文章,然后想发到别的平台的,但是因为工作上的原因开摆了。今天,我们的主...
