zzcms SP3 漏洞解析 zzcms SP3 漏洞解析 cms来源:ZZCMS SP3URL: www.zzcms.com作者:壮壮 很老的cms版本,应该没人会用了吧,这里找找简单地漏洞(课程期末作业) 有使用seay扫描器扫描,但误报率高,只能简单的参考,实际还是得自己动手看代码(….) 1.xss储存型漏洞范围:Book.php留言界面 测试后:有轻微的参数过滤痕迹,但并不完全,还是能简单的在管理页面执行恶 2021-12-15 内网渗透 PHP SQL注入 XSS 任意文件读取
实训day3-Zabbix 实训第三天-Zabbix搭建1.环境Centos7环境123#运行环境[root@localhost ~]# cat /etc/redhat-releaseCentOS Linux release 7.0.1406 (Core) 12345#永久关闭防火墙和SELinux[root@localhost ~]# systemctl disable firewalld.servicerm 2021-11-28 实训 Linux Zabbix
实训Day2-DNS 实训第二天-DNS的搭建1. DNS安装与环境ps:跟陈总的文档完全不同 12#安装bindyum install -y bind bind-utils 关于环境: 不先处理一些环境问题,后面处理起来,人要疯 环境:必要两台centos7,复数其它任意网段主机(可有可无) 首先是固定自己的ip(是啊,教室到宿舍,在到教室,网络一断,又得重新配) 1234567891011121314151617 2021-11-24 实训 Linux DNS
实训第一天 实训第一天GRUB2的使用1.忘记root密码怎么办?首先,我们先把root密码忘了,然后重启(reboot) 在GRUB2启动屏显时,按下e键进入编辑模式 然后我们定位到linux16开头的行,按下end键直接来这段命令的末尾,并增加 rd.break,ctrl+x一下 进入emergency mode界面我有个信息收集的习惯,先fuzz一下命令如下: 123whoamilsmount 2021-11-22 实训 DHCP Linux
CISCN2019 华北赛区 Day2 Web1 Hack World 1 [CISCN2019 华北赛区 Day2 Web1]Hack World 1https://buuoj.cn/ 解题点: 异或盲注 1.fuzzbp抓包,对post参数id进行fuzz测试and、or、group_concat均被过滤 但是题目很友好,把flag所在表名和字段名都给你,能省很多事 感谢大佬整理:sql-fuzz字典 2.异或注入输入1,2均有回显但输入字母,会回显bool 2021-10-20 CTF SQL注入
MRCTF2020 Ez_bypass 1 [MRCTF2020]Ez_bypass 1https://buuoj.cn/ 解题点:1.MD5强碰撞2.is_numerice() 绕过 代码审计: 123456789101112131415161718if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET[ 2021-10-20 CTF PHP
永恒之蓝ms17_010复现 永恒之蓝ms17_010复现 永恒之蓝ms17_010 2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严 2021-10-18 内网渗透 Windows ms17_010
Oracle数据库查询训练 Oracle数据库查询训练Oracle查询语句最后的练习范围是scott用户专属自带的emp、dept和salgrade三张表 题目:1.查询薪金高于在部门 30 工作的所有员工的薪金的员工姓名和薪金、部门名称、部门人数 123456789SELECT e.ename,e.sal,d.dname,temp.countFROM emp e,dept d,( SELECT deptno 2021-10-14 数据库 Oracle
Bugku_login 1 Bugku_login 1 解题点: SQL约束攻击 SQL约束攻击:举个栗子: 1insert into users(username, password) values("admin x", "qiye"); 前提,MySQL的sql_mode设置为default 我注册一个上述那样admin的值首先,在php里会判 2021-10-08 CTF sql注入
buuctf-[极客大挑战 2019]Http 1 buuctf-[极客大挑战 2019]Http 1 解题点: X-Forwarded-For、Referer、User-Agent X-Forwarded-For:通过http代理或负载均衡连接web服务器的原始ip地址 Referer:页面请求来源地址 User-Agent:用户代理,一般用来区分不同的浏览器 一开始,打开bp抓包,看网页源代码时会发现一个前往S 2021-10-02 CTF HTTP