常见端口相关可利用的漏洞
…
ATT&CK红队评估实战靶场-1
靶场来自:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 简单的一个靶场,本来用作学生的考核的,但是没用到,横向的域渗透也只是用了 cobalt strike 上的 psexec 模块,主要的内容是熟悉一些渗透的流程。
靶场有…
《德米安:彷徨少年时》阅读笔记
值得读的一本书,少年时的彷徨每个人都有过,而一个重要的领路人也是很重要。
渗透测试从js文件中如何获取敏感信息
对网站的javascript文件进行分析,查找js文件中是否存在敏感信息,有的开发者会将接口、url、参数、accesskey等信息放在js文件中,所以就可以分析js文件查找这些内容。
网络安全名词介绍
刚好要整理一个网络安全名词介绍的课程,参考网络安全中的常用名词,内容基于 gpt 生成。 POC (Proof of Concept)#
中文(概念验证),是指验证某个安全漏洞、攻击方式或者技术的可行性的代码或者操作方法。POC 通常用于证明攻击可以成功…
chisel代理工具
chisel是一款基于 HTTP 的快速 TCP/UDP 隧道
game of active directory(GOAD)域环境搭建
Game Of Active directory的第二个版本,项目地址:https://github.com/Orange-Cyberdefense/GOAD 域靶场环境通过 vagrang 安装 5 个 windows 实例(三个 DC,两个普通域内主机),拓朴图如下:
官…
2022年十大被利用的漏洞
CVE-2021-44228(Log4Shell)# CVE-2021-44228 是一款广受欢迎的 Apache Log4j 开源日志实用程序中的远程代码执行漏洞。
复现记录,之前 notion 中记录了apache log4j2 漏洞复现
CVE-2022-30190…
告别2023
跨年简简单单去外面吃了个饭,广场太多人了,回来直接鼻塞➕嗓子干,在外面尽量带着口罩。 2023 年最后一天读完了黑塞的《德米安:彷徨少年时》,这本书讲辛克莱尔进入学校面对的不安和困惑的世界时显得彷徨,德米安的出现,改变了这一现状,拯救了辛克莱尔,并在以后的成长中…
春秋云镜仿真靶场Hospital实操
在这个场景中,你将扮演一名渗透测试工程师,被派遣去测试某家医院的网络安全性。你的目标是成功获取所有服务器的权限,以评估公司的网络安全状况。该靶场共有 4 个flag,分布于不同的靶机。
《局外人》阅读笔记
作者:加缪 推荐值:⭐⭐⭐⭐⭐
《局外人》以主人公默尔索的经历从母亲去世、开枪杀人、法庭审判、等待死去的过程展开,这些经历中包含了大量主人公的独白,母亲去世默尔索没有流眼泪而在法庭上放大说他无情、没有人性,开枪杀人的罪行将其生活中的各种琐事放大…
windows上安装marker
项目地址:https://github.com/VikParuchuri/marker 官方介绍说,Marker 将 PDF、EPUB 和 MOBI 转换为 markdown 文档,且比 nougat 快 10 倍。
官方只提供 linux 和 mac 的安装方式,参考在…
编写高质量的报告
前言# 个人经验来看,渗透测试报告分两类,一类是简单的报告,简要汇总漏洞内容,这种报告都是技术性东西,不适合领导看,一类是复杂且正式的报告,可用来做项目汇总及验收盖章用的报告。
之前看到这篇文章,写了如何编写高质量报告规范,针对国外的渗透测试报告,总结了下内容…
魔改版memos安装
之前在 B 站看了 up 嘎嘎 Vespa 的视频【如何用 memos 做卡片笔记知识管理(上篇)】 ,觉得用 memos 做卡片笔记挺不错的,刚好看了【最高学以致用法】中,讲了关于知识不能只输入,也要输出,输出才能去理解那些学习的知识,如果一味的输入,这样你什么也记不得…
《被讨厌的勇气:“自我启发之父”阿德勒的哲学课》阅读笔记
作者:岸见一郎,古贺史健 推荐值:⭐⭐⭐⭐⭐
简介:
一名深陷自卑、无能与不幸福的青年,听到了一名哲人主张的 “世界无比单纯,人人都能幸福” 便来挑战,两人展开了你来我往的思考和辩论,在一夜一夜过去后,青年开始思考,为什么 “所谓的自由,就是被别人讨厌…
mac如何抓微信小程序、公众号的http请求
为了复现几个微信小程序的漏洞通报,特意记录下如何使用 mac 抓小程序的请求。 工具:
mac 最新版微信 Proxifier yakit
打开Proxifier,设置代理
1、先设置代理服务器
添加 yakit 监听的端口 8083
2、设置代理规则
点击 + 号…
某工业互联网安全技术技能大赛writeup
水了几题,其他的做不出来 -_-| modbus#
题目给了个 modbus.pcapng 流量包
用 wireshark 打开,分析数据包,搜索 666c,666c 的 hex 解码就是 flag 的十六进制编码,导出分组解析结果为纯文本。
用 grep 去提取字符
去…
2023年SWPU NSS 秋季招新赛 (校外赛道)web题writeup
水水比赛 赛题可以到https://www.nssctf.cn/index 搜索到
colorful_snake#
右键查看 js 源码,unicode 解码
NSS_HTTP_CHEKER#
cookie editor设置 cookie
X-Forwarded-For…