sudo漏洞 主机sudo1

rce漏洞：利用代码或者命令去执行 常见的一句话木马： 1、普通一句话： 1 2 3 <?php @eval($_POST[123456]); ?> *post后面中括号里面的内容是使用菜刀或蚁剑连接时的密码 2、防爆破一句话： 1 2 3 4 <?php substr(md5($_REQUEST[ ......

（转载）修复 K8s SSL/TLS 漏洞（CVE-2016-2183）指南 前言 测试服务器配置 主机名IPCPU内存系统盘数据盘用途 zdeops-master 192.168.9.9 2 4 40 200 Ansible 运维控制节点 ks-k8s-master-0 192.168.9.91 ......

## 一级 - 测试 ## 一级级 - 测试 - 测试 ### 二级 - 测试 - 测试 #### 三级 - 测试 ## 二级 - 测试 ......

因为自己搭建的环境存在一些问题，可能是版本过高的原因，(奇奇怪怪的问题，用户没有权限)，所以目前仅仅做概念性验证，对漏洞的原理进行分析。 ......

逻辑越权简介 1.水平越权 通过更换的某个 ID 之类的身份标识，从而使 A 账号获取（修改、删除等）B/C/D账号数据（权限相同）。 2.垂直越权 使用低权限身份的账号，发送高权限账号才能有的请求，获得其高权限的操作。 3.未授权访问 通过删除请求中的认证信息后重放该请求，依旧可以访问或者完成操作 ......

一、Kali开启网络监听： service apache2 start 二、启动 Kali beef-xss 模块： beef-xss 如果需要查看密码路径root权限，可以用以下指令： vi /etc/beef-xss/config.yaml 其它指令，如下： apt-get remove bee ......

在虚拟机里各种操作都正常。就是ping不通主机。为什么？ NAT模式下（网络地址转换模式），虚拟机后网络适配器就会出现VMnet8网卡： 把VMnet8的ip4设定成你主机同段IP。这个VMnet8地址就是你虚拟机的主机地址。这个概念搞清楚后，那就没有问题了。 如，win10的IP是192.168. ......

> 2023 年 7 月 24 日，Apache Shiro 发布更新版本，修复了一个身份验证绕过漏洞，漏洞编号：CVE-2023-34478，漏洞危害等级：高危。 Apache Shiro 版本 1.12.0 之前和 2.0.0-alpha-3 之前容易受到路径遍历攻击，当与基于非规范化请求路由请 ......

1、对客户端控件过度的信任； 2、高级逻辑漏洞； 3、低级逻辑缺陷； 4、对异常输入的处理不一致； 5、不一致的安全控制； 6、工作流程验证不足； 7、通过有缺陷的状态机绕过身份验证； 8、业务规则执行存在缺陷； 9、无限期货币逻辑缺陷； 10、通过加密预言机绕过身份验证； 11、身份验证漏洞，两用 ......

文件下载，读取 原理，检测，利用，修复等 #利用 数据库配置文件下载或读取后续 接口密匙信息文件下载或读取后续 #文件名，参数值，目录符号 read.xxx?filename= down.xxx?filename= readfile.xxx?file= downfile.xxx?file= ../ ......

针对第一篇文章中的一些问题怎么解决的： 第一、网卡的mac地址，如图修复 第二、蓝牙的修复，其实这个也是玄学 博通的943224pciebt2网卡 正确的蓝牙驱驱动 而错误的蓝牙usb主机控制器里的“版本显示是低于1.56的，我的是显示版本：0.42” 无论用什么修改方法就是失败，原因就在这里。 那 ......

实现方法 思路就是将wsl2自建的虚拟NAT网络桥接到windows主机网卡上，主要参考这篇文章 1、开启hyper-v 桥接功能需要windows的hyper-v组件支持，但是win10/11家庭版是不包含hyper-v的，专业版才包含。网上也有文章提到家庭版安装hyper-v的方法，但是我没有测 ......

前几天是准备上点edusrc的分的，所以就准备用手上还没刷的Nday继续上分，然后就有了今天这个案例：之前在挖某体育学院证书的时候就挖到过一个通过修改html文件更改密码修改步骤的漏洞，所以就准备测绘一下这个资产，继续看看能不能上分。 ......

“sudoers_policy”时在 /etc/sudo.conf 第 19 行出错。处理方法： ......

CGI introduction common gatewa interface/CGI describes a stardand for transferring data between server and client programs,allowing a client to reques ......

AI绘图的出现给设计界带来了很多的便利性，利用stable diffusion这种工具一秒将2D转化成为3D、1分钟做出10张海报图片等。 ......

文件包含原理 传递一个参数（可以是一个文件），然后PHP脚本包含这个文件，则无论这个文件是什么格式，访问PHP脚本，传递参数的文件都能以PHP格式执行。 本地文件包含测试 #本地创建一个1.php和shell.txt，代码如下 #访问PHP脚本并且传递1.txt文件为参数，发现txt里的内容以php ......

# linux使用sudo命令管理普通用户执行root权限 ## 为什么要用sudo？ > sudo 提供了一种安全而灵活的方式，让普通用户在需要时以 root 用户的身份执行特权操作，同时也提供了更好的管理和安全性。通过合理配置 sudoers 文件，可以确保只有受信任的用户能够执行特权操作，从而 ......

AWVS是一款常用的漏洞扫描工具，全称为Acunetix Web Vulnerability Scanner，它能通过网络爬虫测试你的网站安全，检测流行安全漏洞，大大提高了渗透效率。 主要使用的功能有：仪表盘（监视器）功能、添加目标功能、漏洞排序功能、扫描功能、发现功能、用户功能，其它还有扫描配置功 ......

# WEB漏洞-查询方式及报错注入 [TOC] 当进行SQL注入时，有很多注入会出现无回显的情况，其中不回显的原因可能是SQL语句查询方式的问题导致，这个时候我们需要用到相关的报错或盲注进行后续操作，同时作为手工注入时，提前了解或预知其SQL语句大概写法也能更好的选择对应的注入语句。 ## 1. 查 ......

RCE:远程命令/代码执行(remote command/code execute) 在 Web 应用中有时候程序员为了考虑灵活性、简洁性，会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样调用系统命令处 ......

本人电脑上安装的时ubuntu22.04系统，使用virtualbox的虚拟机里面安装了一个Win10。 但由于工作关系，某些Win10下的工具需要使用主机上的物理串口。 这时有两个办法： １、在vbox里直接把物理串口分配给Win10，设置如下图所示 这里的路径/地址添加的是串口的设备对应的设备路 ......

漏洞从哪里来、缓冲区溢出、如何发现漏洞、漏洞利用（EXP 选择与修改，避免有害的 EXP）、后渗透阶段（Linux 上传文件，Windows 上传文件） ......

CSRF:跨站请求伪造（Cross-site request forgery）CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包（如转账给hack,向hack发送API等）如果此时用户恰好登录了该 ......

### 前言 在学习K8S环境搭建中，发现vmware对ubuntu的支持不太好，特别是虚拟网络经常出现一些奇奇怪怪的问题，为了减少在学习搭建K8S环境过程中一些无关紧要问题上带来的心智负担，所以改用KVM去搭建集群环境。但是在使用KVM的环境下发现网卡的默认选择项只有桥接模式和NAT模式，并没有仅 ......

基本概览 型号：Asus Chromebox 3 CN65 （Teemo） 固件：MrChromebox-4.20.0 05/15/2023 （Coreboot BIOS） CPU：i7 8550U 4C 8T 最大睿频 4.00 GHz Kaby Lake R 架构（移动平台） 核显：Intel ......

Then, call the WiFi.hostname() function before calling WiFi.begin(). WiFi.hostname(newHostname.c_str()); 代码 /* Rui Santos Complete project details at ......

前几天Intel宣布放弃迷你电脑NUC业务，已经授权给华硕公司接手了，要知道Intel的NUC电脑价格已经是市场上的天花板，结果还做不下去，毕竟国产迷你主机把价格已经打穿地板了，酷睿i7+24GB+2TB这样的可以做到2999元。 GMK极摩客K3Pro迷你电脑现在优惠400元，多个配置都出现了好价 ......

“三feng云”“免费虚拟主机““免费云服务器” 控制台链接：https://www.sanfengyun.com/control/#/freeServerList 1. 点击管理面板进入管理界面 2. 点击基本信息查看服务器配置 3. 点击安装操作系统安装操作系统，设置登录密码。支持linux、W ......

xsstrike下载：https://github.com/s0md3v/XSStrike XSStrike相关的命令 -h, --help //显示帮助信息 -u, --url //指定目标 URL --data //POST 方式提交内容 -v, --verbose //详细输出 -f, --f ......