sudo漏洞 主机sudo1

这篇文章简单的介绍下xssgame的通关方法，从名字可以看出，xssgame就是针对xss攻击进行专门的漏洞复现，由易到难。 链接：https://pan.baidu.com/s/1F9I7iBdu7MPLLvegM5kAQg 提取码：469c 这是xssgame的安装包，将它放到phpstudy/ ......

一、点击劫持漏洞概述 点击劫持也被称为UI-覆盖攻击，是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上，然后诱使用户在该网页上进行操作，当用户在不知情的情况下点击透明的 iframe 页面时，用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可 ......

一、文件包含漏洞 定义：为了更好使用代码的重用性，引入了文件包含函数，可以通过文件包含将文件包含进来，直接使用包含文件的代码。 原因：在包含文件的时候，为了灵活包含文件，将被包含文件设置为变量，通过动态变量引入需要包含的文件时，用户可以对变量的值可控而服务器未对变量值进行合理地校验或者校验被通过，这 ......

前言 由于本人的一个习惯，每次遇到漏洞并复现后都要编写poc，以便下一次的直接利用与复测使用。研究Nacos默认密钥和JWT的爱恨情仇的过程中遇到了莫名其妙的问题，在此做以记录，方便日后有大佬遇到相同的问题路过看到能够得以解决。 研究过程 在Nacos身份认证绕过漏洞复现文章中提到jwt.io网站， ......

前记 端午前两天，遇到公司某客户的站点是Nacos，随后就是网上搜一波漏洞，搜到 QVD-2023-6271，故做以下记录 漏洞复现 漏洞描述 漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果 ......

# iftop 工具 https://mp.weixin.qq.com/s/NYsE1Oe8G3IanMw1p9_GUA ## 1、安装工具 ```bash yum -y install iftop ``` ## 2、常用参数 ```bash -i 指定需要检测的网卡， 如果有多个网络接口，则需要注 ......

今天在配置redis主从配置时，从实例报错：Error condition on socket for SYNC: Connection refused 我是在单体机上配置三个实例，实现redis的一主二从。 1.首先，创建三个文件夹，名字分别叫7001、7002、7003（我喜欢将应用安装在tmp ......

### 一、基于用户名与密码连接 #### 指令 `ssh username@server_ip` - 随后要求输入密码 #### 加密流程 :one: 在SSH连接建立过程中，客户端和服务器使用Diffie-Hellman密钥交换协议协商生成一个会话密钥。 > Diffie-Hellman密钥交换 ......

1、TLS问题 104743 - TLS 1.0 版协议检测 nginx使用配置选项: ssl_protocols TLSv1.2 TLSv1.3 127907 - nginx 1.9.5 < 1.16.1 / 1.17.x < 1.17.3 Multiple Vulnerabilities 150 ......

# 记一次服务器排查漏洞 最近需要在客户现场部署app后端项目，需要将服务器并过去，但客户扫描后发现我们服务器还有一些信息级别的漏洞，要求我们清空了才能并过去，本来是安排运维来干的，但不知啥原因，leader扔我头上了，还pua我说技术啥都需要知道，所以记录一下几个简单漏洞的解决方案 ### HTT ......

docker run -d nginx:1.91. 容器内查看网卡索引值docker exec -it 2740f92 cat /sys/class/net/eth0/iflink2. 根据网卡索引值查找系统网卡ip a | grep "7: " ......

模块 pickle实现了对一个 Python 对象结构的二进制序列化和反序列化。 pickling 是将 Python 对象及其所拥有的层次结构转化为一个字节流的过程，而 unpickling 是相反的操作，会将（来自一个 binary 或者 bytes-like object的）字节流转化回一个对... ......

##vulnhub-xxe靶场通关（xxe漏洞续） 下面简单介绍一个关于xxe漏洞的一个靶场，靶场来源：https://www.vulnhub.com 这里面有很多的靶场。 靶场环境需要自己下载：https://download.vulnhub.com/xxe/XXE.zip 因为是外国的靶场，下载 ......

在搜索Linux监控时，偶然发现一款还不错的监控面板，该面板为red hat开发，适用于各种Linux发行版，部署也非常方便，官方文档Running Cockpit — Cockpit Project (cockpit-project.org) 官方标配！非常炫酷的 Linux 可视化管理工具，你值 ......

##XML外部实体注入——XXE漏洞详解 简单来说一下这个XXE漏洞，在这之前我也阅读了很多关于XXE漏洞的文章，发现有一小部分文章题目是 “XXE外部实体注入” 这样的字眼，我想这样的文章很大可能都没有弄明白XXE和XML的关系吧，也或者是不小心打错了。看到这里你如果没有反应过来 “XXE外部实体 ......

# phar反序列化漏洞介绍 什么是phar: phar类似于java中的jar打包 ## phar的结构： stub phar文件标识，格式为`xxx;` (头部信息) **manifest**压缩文件的属性等信息，以**序列化**存储； contents压缩文件的内容； signature签名， ......

#### 1、漏洞复现 用vulhub复现该漏洞vubhub环境搭建：[https://blog.csdn.net/weixin_59679023/article/details/123739030](https://blog.csdn.net/weixin_59679023/article/det ......

一、log4j远程代码执行漏洞 原理:Log4j是Apache的一个开源项目，是一款基于Java的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到~$后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的iookup，通过对应的l ......

1、首先进入w3af文件目录之下，如下图1所示。 图1 显示usr/local/src/w3af目录下的内容 2、使用ls命令查看w3af文件目录下的内容，有w3af_console和w3af_gui，console是打开命令行，gui是打开图形界面，本次实验使用。/w3af_console命令，如 ......

1、已有阿里云虚拟主机。2、在虚拟主机列表选择要绑定的虚拟主机中“管理”，进入虚拟主机管理控制吧。 https://netcn.console.aliyun.com3、在虚拟主机控制台中“域名管理”->"域名绑定"->"绑定域名"，填写要绑定的域名。 https://cp.aliyun.com4、在 ......

设备Labview源码，给国内主机厂配套，采用Modus _tcp和西门子P L C通讯采集数据，研华P C I板卡，工艺配方，数据曲线存储和追溯，是有志于上位机labview工程师参考好教程ID:27100606427875413 ......

MES系统Labview开发的发动机生产线源码，公司给国内主机厂配套的生产线，爱好工控的朋友可以参考，架构经典，非常值得参考，学习，里面很多功能可以直接借用ID:55300605992377250 ......

Apache Superset是一个开源的数据可视化和数据探测平台，它基于Python构建，使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面，可以轻松地创建和共享仪表板、查询和可视化数据，也可以集成到其他应用程序中。 ......

汽车供应商产品项目开发和质量管理体系过程控制文件汽车供应商产品开发质量管理体系程序文件，主机产的开发流程，精心整理，样样齐全，能够轻松应对产品开发和质量工程师工作，请看清楚，电子资料汽车供应商的产品项目开发和质量管理体系是一个包含过程控制文件和程序文件的系统，用于管理汽车主机厂商的产品开发流程和质量 ......

#### 1、漏洞复现 用vulhub复现该漏洞vubhub环境搭建：[https://blog.csdn.net/weixin_59679023/article/details/123739030](https://blog.csdn.net/weixin_59679023/article/det ......

**常用命令** ``` ifup eth0 ifdown eth0 dig www.bai.com #解析IP traceroute -p (端口号) ``` **1、IP** ``` #vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth ......

# lighttpd服务使用Acunetix漏扫 TLS 1.0 enabled Severity Medium Reported by module /Scripts/PerServer/SSL_Audit.script Description The web server supports en ......

[toc] 随着人工智能(AI)技术的飞速发展，其在安全领域的应用也逐渐成为研究领域和应用领域值得关注的领域之一。其中，机器学习、深度学习和自然语言处理等技术在安全漏洞检测中的应用也越来越广泛。本篇技术博客文章将探讨人工智能在安全漏洞检测中的应用，包括技术原理、实现步骤、应用示例和优化改进等方面，以 ......

1.右键编译的文件，点属性。 2.配置属性 C/C++ 代码生成 Spectre Mitigation 选 Disabled ......

https://blog.csdn.net/weixin_49223002/article/details/121038236 ![image](https://img2023.cnblogs.com/blog/1144139/202306/1144139-20230617181914202-125 ......