yami紫灵-CSDN博客

原创【Centeros7中发现 ip addr 无ip地址】——不踩坑指南

使用Centeros7中发现 ip addr 无ip地址（已解决）原因：在CentOS系统上，目前有NetworkManager和network两种网络管理工具。如果两种都配置会引起冲突，而且NetworkManager在网络断开的时候，会清理路由，如果一些自定义的路由，没有加入到NetworkManager的配置文件中，路由就被清理掉，网络连接后需要自定义添加上去。1.将networkmanager服务停了2.重启网卡，就ok了#查看所有已安装服务。

2023-02-15 09:57:13 289

原创【mysql反弹shell】

metasploit已经有针对该方式的利用代码，原理还是一样生成mof文件，只是metasploit中可以使用到反弹技术，就不用额外添加用户，前提是对方服务器允许访问公网。

2023-02-10 16:19:26 621

原创 showdoc文件上传-vulfocus/showdoc-cnvd_2020_26585:latest 漏洞复现实战

ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc，你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。名称: vulfocus/showdoc-cnvd_2020_26585:latest。使用webshell工具连接，在/tmp目录下存在flag。api_page存在任意文件上传.

2022-12-13 16:44:36 321

原创【指纹识别自力更生+kali-whatweb指纹识别+云悉我不配】

whatweb可识别web技术，包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库，Web服务器和嵌入式设备等。它有超过900个插件，每个插件都能识别不同的东西。Whatweb还可以识别版本号，电子邮件地址、账户ID、Web框架模块，SQL错误等。云悉web指纹识别系统越来越卷了，注册邀请码也太难得了吧，所以在这么恶劣的环境中，我们安全白帽子要自立更生，掌握kali-whatweb指纹识别，拒绝卷环境，从我做起。

2022-12-13 16:13:13 924

原创【rpcbind漏洞111端口入侵实战指南--关注紫灵小姐姐不踩坑】

该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB)，除非进程崩溃，或者管理员挂起/重启rpcbind服务，否则该内存不会被释放。最近扫描一个内网的ip，发现有一个不常见的端口开着，服务是rpcbind，上网一查还真是有漏洞。使用metasploit(msf)验证漏洞。也可以使用命令查看攻击模块去利用该漏洞。111端口rpcbind漏洞。

2022-11-07 17:34:00 4213 1

原创【Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)-漏洞复现实战——关注紫灵小姐姐不踩坑】

1.9.1 之前的 Apache Shiro，RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有 . 的 RegExPatternMatcher 的应用程序可能容易受到授权绕过。目前不是很明白这个漏洞如何去利用，有无大佬给我解释下，是指所有的接口都可以通过这种方式绕过认证吗？Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。1）直接访问发现404。

2022-10-24 10:07:56 507

转载安全设备默认口令

联想网御防火墙PowerV administrator administrator。网神SecFox运维安全管理与审计系统 admin!深信服NGAF下一代应用防火墙(NGAF V4.3) admin admin。深信服ipsec-VPN (SSL 5.5) Admin Admin。深信服WAC ( WNS V2.6) admin admin。深信服AF(NGAF V2.2) admin sangfor。深信服负载均衡 AD 3.6 admin admin。

2022-10-20 17:14:04 1464

原创【fastjson 1.2.47漏洞复现实战（vulfocus在线靶场CNVD-2017-02833）——关注紫灵小姐姐不踩坑】

fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。...............

2022-08-28 22:21:33 830

原创【centos8.2下载安装netcat监听工具】——关注紫灵小姐姐不踩坑

centos8.2下载安装netcat监听工具——紫灵博客不踩坑

2022-08-28 11:06:48 324

原创【docker安装kali实战】——关注紫灵小姐姐不踩坑

docker20安装kali不踩坑指南

2022-08-26 22:37:38 1889 1

原创 python3_实例学习

2.数字求和m,n = map(float,input().split())sum1 =m+nprint(sum1)3.平方根‘’’平方根，又叫二次方根，表示为〔√￣〕，如：数学语言为：√￣16=4。语言描述为：根号下16=4。以下实例为通过用户输入一个数字，并计算这个数字的平方根：‘’’n = float(input())m = n**0.5print(’%0.3f’%m)import cmathn = int(input())m = cmath.sqrt(n)prin

2022-01-02 22:31:53 261

原创不踩坑指南—android 9.0 安装edxposed框架

yami的安装经历—android 9.0 安装xpose框架资源准备运行如下资源准备1.确保已经安装Magisk Manager，版本不低于V17.0。https://github.com/topjohnwu/Magisk/releases2.在Magisk Manager里安装 Riru-core，版本不低于 v10 。https://github.com/RikkaApps/Riru/releases3.在Magisk Manager里安装 EdXposed。https://githu

2021-04-20 15:46:25 3999 6

weixin_40416851的博客