这是一个博客的评论仓库
blogcomment's Introduction
blogcomment's People
blogcomment's Issues
ctf-wp-saining - greetdawn's Blog
http://www.greetdawn.top/2022/02/15/ctf-wp-saining/
环境地址61.147.171.107:10081 61.147.171.107:10082 61.147.171.107:10083 10081 xml注入访问源代码分析,感觉应该的是个xml外部实体注入 先构造payload试一哈: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE root [ <!ENTITY
blog
重新开始 - greetdawn's Blog
http://www.greetdawn.top/2021/11/24/%E4%B8%AA%E4%BA%BA%E9%9A%8F%E7%AC%94/newstart/#more
时过境迁,微信公众号开通到零零散散的发了几篇文章已经是2019年的事情了。那个时候还是个意气风发、朝气蓬勃的精神小伙。只身一人就毅然决然的跑到了北京,想开拓了一片属于自己的天地,可能这就是那个时候年轻人所谓的“梦想“吧。
SCTF2021 - greetdawn's Blog
jboss反序列化(CVE-2015-7501) - greetdawn's Blog
漏洞概述Red Hat JBoss Application Server(AS,也称WildFly)是美国红帽(Red Hat)公司的一款基于JavaEE的开源的应用服务器,它具有启动超快、轻量、模块化设计、热部署和并行部署、简洁管理、域管理及第一类元件等特性。 红帽 JBoss A-MQ 6.x;BPM 套件 (BPMS) 6.x;BRMS 6.x 和 5.x;数据网格(JDG)6.x;数据虚拟
Android Studio手动使用makefile编译 - greetdawn's Blog
Android Studio手动使用makefile编译用makefile文件编译能够选择编译的目标是共享库或者可执行文件。 新建Java工程用Android Studio新建一个普通Empty Activity项目。 新建 jni/cpp 目录在刚刚创建好的项目中,在src > main目录下新建jni或者cpp目录。新建文件Android.mk、Application.mk以及源码文件。
php语言特性类型讲解 - greetdawn's Blog
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947) - greetdawn's Blog
Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。
Spring core 0day RCE(CVE-2022-22965) - greetdawn's Blog
git的使用技巧 - greetdawn's Blog
http://www.greetdawn.top/2022/03/04/git%E7%9A%84%E4%BD%BF%E7%94%A8%E6%8A%80%E5%B7%A7/#more
git目前世界上最先进的分布式版本控制系统。
2021年红帽杯初赛ctf部分试题wp - greetdawn's Blog
windows下ip修改小工具 - greetdawn's Blog
http://www.greetdawn.top/2021/03/17/%E5%AE%89%E5%85%A8%E5%BC%80%E5%8F%91/win-changeip-tool/#more
场景说明公司经常会举办相关线下的安全的竞赛,支撑竞赛过程中经常遇到测试网络环境及靶机环境是否正常,此过程需要不断修改主机的IP地址。所以开发对应小工具来简化相关操作流程。功能较为简陋,只是简单的相关实现。
常见shell反弹姿势 - greetdawn's Blog
Apache APISIX dashboard RCE - greetdawn's Blog
Apache APISIX简介 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。
log4j2RCE(CVE-2021-44228)漏洞利用与分析 - greetdawn's Blog
漏洞描述:Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
About Me - greetdawn's Blog
http://www.greetdawn.top/about/
Me爱是恒久忍耐~ 26 岁,是上班三年的穷屌丝。 成长 ing。但是我还是一枝花 爱好:唱歌、摸鱼~~ 喜欢:蜡笔小新、柯南 讨厌:无厘头的人 运动:乒乓球 🏓 篮球 目标:渗透大佬 || python || web全栈 || 人民讲师 梦想:没有梦想
log4j2RCE(CVE-2021-44228)漏洞利用与分析 - greetdawn's Blog
http://www.greetdawn.top/2021/12/11/%E6%BC%8F%E6%B4%9E%E7%A0%94%E7%A9%B6/log4j2RCE-CVE-2021-44228/
漏洞描述:Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
python序列化与反序列化 - greetdawn's Blog
2023**工业互联网安全大赛线下决赛 - greetdawn's Blog
java基础配置 - greetdawn's Blog
ssrf打内网redis - greetdawn's Blog
Log4j2基于JDBCAPPENDER配置文件任意文件执行(CVE-2021-44832) - greetdawn's Blog
前期log4j2存在的远程代码执行漏洞(CVE-2021-44228)引起了轩然大波。昨天上网冲浪发现,checkmark研究员YANIV NIZRY公布了新版本log4j2 2.17.0中存在基于JDBCAPPENDER配置文件的任意命令执行。且该漏洞已经公布其CVE编号为CVE-2021-44832。 漏洞描述log4j2在进行JDBC反序列化之前,可以通过JNDI动态远程获取数据库源文件
2022年**工业互联网安全大赛江苏选拔赛 - greetdawn's Blog
比赛心得,竞赛组织的奇烂无比,理论竞赛环境崩了四次,一个python环境修到了竞赛结束的半个小时,更有甚队伍,竞赛在环境flag不对的情况下,成果提交得分,简直牛逼plus。pwn题不提供附件,re提供错误附件。这竞赛出题能力也是超绝。最主要用的题目全是TM网上的原题2222223
关于VMware磁盘镜像导入ESXi的方法 - greetdawn's Blog
ubuntu修改apt源 - greetdawn's Blog
http://www.greetdawn.top/2018/06/21/linux/Linux-ubuntu-apt-source/
修改ubuntu18.04的源为阿里源
2022年首届数据安全大赛赛道一|数据安全大闯关 - greetdawn's Blog
Gallery - greetdawn's Blog
http://www.greetdawn.top/2022/02/25/Gallery/
<div class="justified-gallery"> <img src="/hexo-theme-icarus/gallery/animals/elephant.jpeg" alt="Elephant" /> <img src="/hexo-theme-icarus/gallery/animals/dog.jpeg" alt="Dog" /> <img src="
常用数据库提权手段 - greetdawn's Blog
Clash代理工具RCE - greetdawn's Blog
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947) - greetdawn's Blog
Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 漏洞环境12git clone https://github.com/vulhub/vulhub/blob/master/spring/CVE-2022-22947/d
php-unserialize-getflag - greetdawn's Blog
git的使用技巧 - greetdawn's Blog
记2021全国hvv演练的点点滴滴 - greetdawn's Blog
向日葵RCE(CNVD-2022-10270/CNVD-2022-03672) - greetdawn's Blog
http://www.greetdawn.top/2022/02/17/%E5%90%91%E6%97%A5%E8%91%B5RCE/#more
漏洞简介上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞(CNVD-2022-10270/CNVD-2022-03672),影响Windows系统使用的个人版和简约版,攻击者可利用该漏洞获取服务器控制权。
Log4j2基于JDBCAPPENDER配置文件任意文件执行(CVE-2021-44832) - greetdawn's Blog
前期log4j2存在的远程代码执行漏洞(CVE-2021-44228)引起了轩然大波。昨天上网冲浪发现,checkmark研究员YANIV NIZRY公布了新版本log4j2 2.17.0中存在基于JDBCAPPENDER配置文件的任意命令执行。且该漏洞已经公布其CVE编号为CVE-2021-44832。
昨晚我接到了一通电信诈骗电话,险些..!!! - greetdawn's Blog
本人昨天接到一通诈骗电话,差点沦陷……借此机会刚好把这次的过程简单记录一下,望近期常有飞机出行的需求的各位家人、朋友、同事们谨防此类电话诈骗!!!以及同类性质和特征的诈骗电话要明辨清楚!!!欢迎各位转发,起到简单的警示作用。
数据安全风险评估项目服务复盘总结 - greetdawn's Blog
一 背景概述近年来,我国网络购物、移动支付、共享经济等数字经济新业态新模式蓬勃发展,数据要素成为企业的重要核心资产。当初的网络安全安全人们更加重视的是资产所存在的漏洞问题,以及漏洞的利用能力。但是在大数据时代, 数据泄露、数据滥用、数据篡改等各类安全风险的存在,网安人渐渐的意识到相比于漏洞利用保护资产的安全,数据资产的保护显得尤为重要。所以专注于数据安全的防护建设能力得到显著提升。同时,在国家监管
2022赛宁网安ctf面试题 - greetdawn's Blog
http://www.greetdawn.top/2022/02/15/%E5%AE%89%E5%85%A8%E7%AB%9E%E8%B5%9B/ctf-wp-saining/#more
环境地址12361.147.171.107:1008161.147.171.107:1008261.147.171.107:10083
php反序列化之魔法函数clone - greetdawn's Blog
中移集团内部练兵赛 - greetdawn's Blog
Zabbix SAML SSO认证绕过漏洞 - greetdawn's Blog
漏洞描述 Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE。
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.