- 博客(24)
- 收藏
- 关注
RSS订阅原创 ssh隧道实现连接开发网数据库
背景:我们经常去操作生产环境服务器,用命令操作比较不方便,所以我们想和平时开发的时候一样,用客户端操作数据库,下面就介绍平时用的最多的两种数据库客户端工具SQLyog和Navicat。这两种工具链接的问题描述:前提是用命令启动停止Mysql数据都正常的情况下。若用平常的方式直接输入ip,用户名,密码,testConnection的时候会报错error2003,无法连接localho...
2018-08-20 17:27:05
1711
转载 排查顺序
一、是否入侵检查1)检查系统日志12检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况)[root@bastion-IDC ~]# last2)检查系统用户1234567891011121314查看是否有异常的系统用户[root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户[ro...
2018-06-11 22:50:05
280
1
转载 RootKit检测工具
linux下安装及使用rootkit hunter(rootkit检测扫描工具) 在官方的资料当中,rootkit hunter可以作的...
2018-06-01 15:14:19
6481
转载 Java反序列化漏洞分析
Java反序列化漏洞分析相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html ht...
2018-04-28 16:50:28
10347
4
转载 Git的用法
图2图2的4个状态比较准确一般来说,步骤是这样的:1.git init2.git clone xxx.git3.git add readme.txt4.git commit -m "message"5.git push
2018-04-04 17:53:15
141
转载 pyDes实现python的des加密
pyDes库 实现python的des加密下载及简介地址:https://twhiteman.netfirms.com/des.html如需要在python中使用des加密,可以直接使用pyDes库加密,该库提供了CBC和ECB两种加密方式。 1、Windows下安装 下载后pyDes-x.x.x.zip并解压后,里面有setup.py文件,使用命令 setu
2017-08-07 14:06:12
1410
转载 序列化和反序列化漏洞的简单理解
1 背景2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
2017-06-28 09:51:45
27747
原创 redis未授权访问导致远程登陆服务器
背景平时看到redis未授权访问,没觉得有什么,今天偶然看到居然可以远程登录,这个厉害了。触发条件:root启动的redis,而且没给密码。实验环境靶机:ubuntu 192.168.52.129 攻击机:windows 192.168.52.1实验过程普通用户启动的情况 可以写入到/tmp目录 然后尝试写入到/root/.ssh/文件。 结果没有权限。root启动的情况先在windows生
2017-06-16 10:58:47
643
原创 Java代码审计之文件包含
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass
2017-06-12 15:30:16
2324
转载 查看linux机器状态
自己常用查看机器状态的方式:查看io之类的,用vmstat查看每个进程运行状态: ps aux根据负载占用率来查看进程1.vmstat--------------------------------vmstat命令是最常见的Linux/Unix监控工具,可以展现给定时间间隔的服务器的状态值,包括服务器的CPU使用率,内存使用,
2017-06-08 14:26:58
4796
原创 libpcap抓包程序
libpcap是unix/linux平台下的网络数据包捕获函数包,从数据链路层开始抓包。著名的tcpdump就是基于libpcap编写的。代码在355行把表达式里面的ip换一下就可以使用#define APP_NAME "sniffex"#define APP_DESC "Sniffer example using libpcap"#define APP_COPYRI
2017-05-31 10:58:43
659
原创 struts2-045漏洞poc调试
漏洞概述:struts2默认的上传插件Jakarta Multipart parser的文件上传模块在处理文件上传含(multipart/form-data)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断Content-Type不正确的时候会抛出异常并且带上Content-Type属性值,可通过构造附带OGNL表达式的URL导致远程代码执行。漏洞场景:配置了s
2017-05-24 14:34:45
1986
原创 自己的vimrc配置
自己用的.vimrc配置。放在~/.vimrc即可。 如果没有颜色,尝试‘会话选项’–>仿真–终端选择linux并且勾选ANSI 如果还不行就重启securecrtset fenc=utf-8 set fencs=utf-8,usc-bom,euc-jp,gb18030,gbk,gb2312,cp936 colorscheme murphy" 不要使用vi的键盘模式,而是vim自己的 "
2017-04-13 14:40:05
413
原创 火狐浏览器下burpsuite代理https页面
前段时间装好了burpsuite之后,一直只能拦截http请求,一到https呢,就是这样的效果“连接 https网址 时发生错误。 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。 (错误码: ssl_error_weak_server_ephemeral_dh_key)”(想起之前网易二面,那人问我burpsuite导入证书是网站的证书
2016-09-14 16:54:12
6962
原创 python正则表达式的理解
# encoding: UTF-8 import re # 将正则表达式编译成Pattern对象 pattern = re.compile(r'^hello\sw[a-z]')# 使用search()查找匹配的子串,不存在能匹配的子串时将返回None # 这个例子中使用match()无法成功匹配 match = pattern.search('hello w
2016-09-08 21:15:40
391
转载 python Wing IDE编辑器的中文显示解决方法
一直用Wing IDE都是没有中文的,我居然忍了一年多····今天在网上找到可用的解决方法。在安装好Wing IDE编辑器之后,输入中文的时候会出现小方格,也就是默认不能显示中文。这个时候我们需要修改编辑器默认的字体。 解决方法如下: 解决的办法是找到 pango.aliases 文件。 如:C:\Program Files\Wing IDE 4.1\b
2016-09-07 21:28:53
2694
原创 绿盟实习
此次参加的实习之后,我感触最深的就是自己的专业知识实在是不够深厚,比如网络协议,跨站脚本攻击(这个最汗颜,我做过钓鱼网站的原理实践,却仍然没有记住该专业术语),网络漏洞,sql注入攻击,数据库相关知识,php语言等等。总之牵涉到了网络安全各个方面的基础知识,这些非常需要我们在平时就注意积极学习。同时绿盟也很看重实习生在网络攻防方面的相关实践经验。 不得不说绿盟公司的氛围真的非常好。也是很和善的
2015-09-20 22:41:36
2401
2
原创 CodeBlock的配置方式
//2015-7今天心血来潮,本来想用用codeblock,结果又是什么编译器没弄好,一会儿懒得弄了,看来搞好环境很重要,搜商业很重要。比如我搜索“codeblock设置” 出来的百度经验,我照做就行了,我搜什么could not use GCC什么的反倒搜不出来。
2015-07-28 10:24:13
617
转载 python中 “按位与,或,异或”与C语言的不同
python中 “按位与,或,异或”与C语言的不同转自:http://blog.sina.com.cn/s/blog_857dce810100vwah.html在python中:按位的运算,都按位的运算,都是把参加运算的数的二进制形式进行运算。1.与运算:A与B值均为1时,A、B与的运算结果才为1,否则为0 (运算符:&)2.或运算:A或B值为1时,A、B或的运算结果才
2015-05-18 19:54:36
530
原创 python核心编程学习
list = raw_input("Please Enter Your Word or Exit:")result = 0while list != 'exit': result += int(list) list = raw_input("Please Enter Your Word or Exit:")print float(result)/5 Please E
2015-05-10 15:25:47
456
原创 鸟哥的linux私房菜(服务器架设篇)(1)
今天开始学习这本书了。听说正好配合着计算机网络一起学。一开始就遇到一些问题了,每次都这样啊。因为是之前学习linux用的linux就不想再重新装一个了。cat /etc/redhat-release,我的是centOS 6.4,鸟哥的是6.0.但是马上就碰到了第一个问题,vgdisplay,出不来东西。之前学基础篇,自己并没有完全学懂,所以对于mount,LVM的,不是特别懂。
2015-04-11 22:00:28
1041
原创 python学习_装好各种环境
第一次写东西,做的东西很低端,但是总应该有个开始的。为了学习python,上次安装jre,安装了好久,设置了好久的环境变量,最后还是没有弄好。网上看说是因为jre里面组件还不足,这次又下载jdk,来试试
2015-03-24 17:25:33
517
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人