从今天开始我将要持续更新python challenge 的攻略 我会尽可能的详细描述 challenge中用到的库 第三方函数 以及一些思路 当然我的方法坑定不是最优解 这只是根据我的理解或者一些其他网站上面参考的一些东西 第一个python challenge 0 跳过 因为过于简单 现在正式开始python challenge 01 的攻略讲…
之前我的网站ip段被恶意ddos了所以导致网页无法正常登陆 昨天刚刚重新把域名重新解析 成新的ip网段 结果发现我之前的wordpress版本无法升级了 之前的版本是4.9.9 现在想要自动升级成5.1.1发现自动安装错误 下面还有一行字 文件校验不符合预期值 这是啥? 由于报错的时候是提供了一个网址 的 这个网址是自动升级安装的时候一个安装包的获…
SSRF 服务端请求伪造 漏洞的成因是这样的 众所周知 公司的内网我们是无法进入的 但是有的服务端提供了一个功能 就是可以获取第三方服务端应用的数据 简单的来说就是输入一段url 服务端提供了可以从该url中下载图片文字来反馈给用户 但是如果没有对用户输入进行严格过滤的话 如果用户输入了 一些获取内网 本地服务器的一些链接 由于没有过滤 这就有可能…
CSRF漏洞:跨站请求伪造 简单的来说 就是攻击者通过广告 弹窗 第三方网站 来诱导用户点击 从而利用用户没有过期的session cookie 来向服务器发送一些任意构造的请求从而达到一些攻击者想达到的目的 而且全过程中 受害者用户是无法意识到 发送了什么的 都是在不自觉的情况下的 这里解释一下 session cookie 这是一个临时cook…
Tor网络和onion Onion 洋葱服务允许人们匿名的访问和发表信息,包括架设匿名网站。 有各种各样的洋葱服务网站,例如让记者和他的资料来源间无元数据的交谈和安全的传输文件的 SecureDrop 和 OnionShare,安全的更新软件,以及以更安全的方式访问Facebook一类的网站。 这些服务使用特殊的 tl…
子域名托管漏洞 一些网站的一些站长 在编译网站的时候 会引用别的网站域名的资源 这个时候其实是可以把那些过期的域名买下来 然后把买下来的一个网站进行一些编译恶意代码 这样的话 就可以黑掉网站了 这种情况还是非常常见的 顶级域名 简单的来说 就是.com .net .org 这些尾缀就是不同的顶级域名代表的就是不同…
稍微有点怠惰了 哈哈哈 本来应该是昨天就应该 整理的东西 这个可以说是一个纯当复习自己看看的东西 如何查找企业资产呢 通过以下的途径 天眼查 比如说饿了么 我们先利用天眼查查到这个是那个公司的 现在我们知道了 这是 上海拉扎斯信息科技有限公司 然后我们再去icp备案的地方 就是这里 我们可以看到各种网址 然后我们一般要查找各大src的漏洞的话 必须…
对于一个服务器入侵的记录 一个有远程命令执行漏洞的一个服务器 本次操作在macos上面进行 首先我们先打开我们的vpn 然后我们进入本地站点 10.10.10.105 我们可以看到这个服务器 好那么 接下来怎么做呢 我们遇到服务器的第一时间是不是应该 想办法得到服务器的一些信息 或者是一些开放端口 所以我们需要用到nmap这款扫描器 所…
关于图片隐写 内含压缩包的东西 哈哈哈首先这是新垣结衣 接下来我们来解题 这是一张图片 首先我们要观察这个图片里面是否有隐藏文件 然后这时候我们就需要用一个软件 winhex 观察这个图片里面的hex编码 结尾是否是 FF 9D 好的我们直接看到结尾发现 并不是 FF 9D Ok那就可以确认了 这个图片里面坑定是由文件隐藏着…
关于文件包含的漏洞