重拾初心
暑假即将结束,这个假期说短不短,说长也不长。 开学也就意味着已经大三了,不得不感叹时间过得可真快~ 20岁,正是一个努力奋斗的年纪,开学后会好好学习,好好训练。 最近新开了一个微信公众号,名字叫”一寸黑”,这个名字琢磨了很久,含义看大家怎么理解了。 以后如果有质量好的文会优先放到”一寸黑”微信公众号上,欢迎大家关注。 同时也开了一个知乎专栏,名字也叫”一寸黑”,传送门 看着每天博客都有不少的浏览量 ...
阅读更多
浅谈新版CTFd的安装以及后期运维
前言前一段时间学校社团组织了一次CTF小比赛,当时就是用的CTFd这个平台。无奈的是最近CTFd更新了,所以旧版本的包我就安装不上了。最近研究了一下新版的CTFd(v2.1.2),顺便还把新版的CTFd汉化了。总体来说,现在的CTFd功能越来越强大了,变成了团队赛以及个人赛两种模式,在管理员后台也可以给一些用户进行奖励加分的操作等等…官方Github地址 环境要求 Centos 7 64位 ...
阅读更多
靶场推荐——LKWA
前言最近在Github上面发现了一个不错的Web漏洞练习靶场——LKWA,它包含了八种Web漏洞: Blind RCE XSSI PHP Object Injection PHP Object Injection via Cookies PHP Object Injection (Object Reference) PHAR Deserialization SSRF Variables vari ...
阅读更多
靶场推荐——pikachu
靶场推荐——pikachu项目地址 https://github.com/zhuifengshaonianhanlu/pikachu 为了方便大家使用已经push到了docker hub。 使用方法12docker pull area39/pikachu:latestdocker run -d -p 8000:80 area39/pikachu:latest Pikachu上的漏洞类型列表如下 ...
阅读更多
CanHackMe | CTF平台搭建记录
起因“最近好忙呀…又准备办一场学校的CTF比赛…” 在Github上发现了一个开源的CTF平台,界面很好看,而且是php写的,所以决定搭建一下折腾折腾。 项目地址:https://github.com/safflower/canhackme 项目官网:https://canhack.me 搭建记录环境要求 Ubuntu 16.04 Apache 2.4 PHP 7.3 安装Apache2.412 ...
阅读更多
从任意文件下载到Getshell
起因在某网站下载素材,下载的时候看了下URL,然后发现了惊喜 花里胡哨的就不整了,待我口述一下思路 看到下载链接的URL如下 1url=/xxx/xxx/xxx.zip 感觉可能存在任意文件下载漏洞,然后试了一下 1url=/etc/passwd 可以成功下载,下载下来文件自动加了.zip后缀且无法解压。不慌,直接拿notepad++一类的工具打开即可。整理一下Linux下常见的敏感文件(需首 ...
阅读更多
Redis在Windows环境下Getshell方法小结
前言Redis未授权访问漏洞很早之前就有了,在实战中如果遇到还是比较幸运的。比如挖到ssrf漏洞,如果内网有个未授权或者弱口令的redis,那么就可以深入的挖掘一下。Redis如果部署在Linux服务器上还好一些,配合nc可以很方便的就拿到了shell。但是如果部署在Windows环境下就比较鸡肋了,虽是这样说,但是也有一些getshell的办法。 环境搭建 系统环境:Windows Serve ...
阅读更多
首发,Webug4.0的Docker版本来了!
前言WeBug名称定义为”我们的漏洞”靶场环境 ,基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。在webug3.0发布后的四百多天226安全团队终于在大年初二发布了webug的4.0版本。Webug4.0官网地址:https://www.webug.orgWebug4.0官方源码:https://github.com/wanga ...
阅读更多
Docker可视化管理工具
前言前面把Docker的一些基础操作命令过了一遍,这次讲一下可视化Docker管理工具如何安装Docker?请参考上一篇文章(传送门)Docker环境信息、容器生命周期管理部分命令参考上一篇文章(传送门)镜像仓库相关命令、镜像管理相关命令参考上一篇文章(传送门)容器运维操作、系统日志相关命令参考上一篇文章(传送门) Docker可视化管理工具Docker常见的几款web工具: docker UI ...
阅读更多
Docker学习笔记(3)
如何安装Docker?请参考上一篇文章(传送门)Docker环境信息、容器生命周期管理部分命令参考上一篇文章(传送门)镜像仓库相关命令、镜像管理相关命令参考上一篇文章(传送门)如果没什么意外,这应该是基础命令的最后一篇了…总结到了一张脑图上,可以做个参考,查看高清版请点我 容器运维操作1.docker attach连接正在运行的容器,观察该容器的运行情况,或与容器的主进程进行交互 123docke ...
阅读更多