密码分组链接模式未使用随机初始化矢量(简述分组密码的工作模式中的链加密模式cbc及其特点)
什么是密码分组链接模式未使用随机初始化矢量?在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算法容易受到字典攻击。什么是CBC模式?CBC模式的全称是Cipher Block Chaining模式(密文分...
渗透技巧——通过cmd上传文件的N种方法(用cmd传文件)
0x00 前言在渗透测试的过程中,常常需要向目标主机上传文件,我在最近的学习测试过程中就碰到了这个问题,要求只能通过cmd shell向目标主机(Windows系统)上传文件,所以本文就对该技巧做一下...
一次运气好的渗透测试
一、基本情况:服务器环境:Apache/2.2.14 (Win32) PHP/5.3.1服务器IP:1.2.3.4网站类型:PHP,网站程序采用joomlaCMSWhois信息:没有对whois做查询二、思路的定制由于网站采用joomla程序,j...
云原生之容器安全实践(容器云原生信创需求)
文 | Pray3r笔者主要负责美团内部操作系统安全、云原生安全、重大高危漏洞应急响应。10+年安全行业经验,熟悉多个安全领域,涉及渗透测试、Web安全、二进制安全、Iot安全、Linux/Android内...
PHP代码执行集锦(php 执行命令)
点击蓝字关注我们前言代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下命令执行函数E.g.1 <?php error_reporting(0);&...
米拓建站系统1day审计与利用(米拓建站侵权)
Metinfocms命令执行前话:米拓企业建站系统是一款由长沙某公司自主研发的免费开源企业级CMS,该系统拥有大量的用户使用,及对该款cms进行审计,如果利用CNVD-2021-01930进行进一步深入,其危害...
对XML外部实体引用的不当限制漏洞(xml外部参数实体格式)
一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择...
运维工程师必须掌握的基础技能有哪些?(运维工程师的技能要求)
这个问题挺好的,回答这个问题也是对自身的审查,看看自己还欠缺哪些。(所以我估计得好好思考下,也许下一刻我就会突然惊醒,发现我还是战⑤渣)首先限定在Linux运维工程师上回答仅代表我想到...
【HTB系列】靶机Querier的渗透测试(渗透测试靶机平台)
本文作者:是大方子(Ms08067实验室核心成员)总结与反思:1.收集信息要全面2.用snmp-check检查snmp目标是否开启服务3.smbmap尝试匿名用户anonymous来枚举目标的共享资源,可能会枚举成功4.使用...
日志伪造漏洞(日志伪造漏洞怎么办)
本期主题为日志伪造漏洞的相关介绍。01什么是日志伪造漏洞?应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以...
