InfoSec learning 
  • Home
  • Archives
  • Categories
  • Tags
  •   
root@whale3070:~# _

owasp渗透测试指南读后感

在看owasp渗透测试指南(2014)时,有了一些思考,于是写了这篇文章。 许多安全从业人员对安全测试的认识仍然停留在渗透测试的范围内。正如之前讨论,渗透测试虽然发挥了一定的作用,但它的作用不足以发现所有的漏洞,同时它过分依赖测试者的技巧。 渗透测试只能当做是一种执行技术或者是用来提高对产生问题的意识。要改善应用程序的安全,必须提高软件的安全质量。 看到了书中这么说,我也有很多的想法。 上一次

2018-11-07
experience
experience

Lampiao(dirtycow)

参考资料:linux 提权脚本 info 12322/tcp open ssh OpenSSH 6.6.1p1 Ubuntu80/tcp open httpOS details: Linux 3.2 - 4.8 关于80端口,肯定有防火墙之类的东东== dirbuster、nikto、nmap、unicornscan找不到任何信息。除了浏览器直接访问80端口,返回了一个页面,It’s ea

2018-11-04
training
training cms

Mr-robots(escalation privilege)

上一篇 通过这篇文章,学习shell脚本获取提权信息 nikto -host 192.168.1.135 WordPress/4.3.1 研究一下CVE-2017-8295:密码重置https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html wordpress未授权密

2018-11-02
training
training

title: 初识php反序列化��:Understanding PHP Object Injection](https://securitycafe.ro/2015/01/05/understanding-php-object-injection/) php基础提要: php允许保存一个对象方便以后重用,这就是序列化。场景:变量值需要跨脚本传递。 序列化 反序列化下面演示php反序列化。建立

2018-11-01

ch4inrulz(Apache .htaccess又是套路)

vulnhub download scan123421/tcp open ftp22/tcp open ssh80/tcp open http8011/tcp open unknown ftp21/tcp open ftp vsftpd 2.3.5 sshOpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol

2018-10-29
training
training

HDC(又是一个后台) CTF

题目这是一道hackthebox中的web题。http://docker.hackthebox.eu:47629/main/index.php 源代码首先分析一下页面,是一个登陆页面。通过分析源代码,可知:用户名和密码的表单参数为name1、name2,post提交myscripts.js 说明获取formaki表单,然后提交。 123function doProcess() {

2018-10-25

读朗朗自传有感

朗朗是中国数一数二的钢琴演奏家,从他3岁起接触钢琴,就没有一天间断过练习钢琴。他还未成年就成了举世瞩目的演奏家。 从沈阳到北京,从北京到德国。没有人脉、没有富裕的家庭,他有的只是努力+天赋+运气。当时中央音乐学院选派5个学生去参加比赛,没有选中朗朗。郎任国就决定自己带朗朗去德国参加比赛,结果拿了第一名。 为他的努力致敬~ 我想说的是艺术这个行业(器乐演奏、架上绘画、舞蹈表演等等),这是

2018-10-24
View Art

title: rotating_fortress(反汇编)/entry/rotating-fortress-101,248/) 扫描感觉有两种特别难突破防线,一种可以搜集的信息特别特别少,端口只开了一两个;一种信息特别特别多,不知道从哪里下手== 这种貌似就是特别少的那种。端口:80(http)、27025(unknown) http服务访问80端口,自动跳转/Janus.php,只有一行字,你

2018-10-17

code-网络编程-正则表达式

某个CTF的python编程题: nc 202.38.95.47 12009连接后提示 12You have only 30 seconds(((8-2)|(6&135))^((24*31)*(8+3))) 有个坑,从52题起,里面夹杂着命令。我不知道命令怎么计算,还以为是数据清洗,删除就好。感谢朋友帮助,根据以前的答案推算出命令和数字的对应关系,然后替换就好。 re注意要点以下字符使用

2018-10-15
code
code

node(源码泄露+密码学相关)

靶机下载地址 学习资料https://rastating.github.io/hackthebox-node-walkthrough/ 扫描1222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)3000/tcp open http Node.js Express framew

2018-10-13
1…8283848586…96

Search

Whale3070
总访问量 次 总访客数 人