[漏洞复现]log4j2远程代码执行 CVE-2021-44228
原理 log4j2的log处理中,检测到${} 字符就会使用JNDI的lookup解析其中字符串。 首先攻击者 …
[GXYCTF2019]禁止套娃
进入发现什么都没有 查看源码还是什么都没有 dirsearch扫描 发现.git 泄露 使用Githack提取 …
vulnhubDC-4渗透记录
环境配置: 靶机DC-4: 192.168.220.156 攻击机kali: 192.168.220.149 …
[网鼎杯2020 青龙组]AreUSerialz
源代码: 先找到传入点: 得知,通过GET方式传入str,is_valid函数会校验传入的 反序列化后的str …
vulnhubDC-3渗透记录
环境搭建: 攻击机kali: 192.168.220.149 靶机DC-3: 192.168.220.155 …
[GXYCTF2019]Ping Ping Ping(命令注入)
首先命令注入拼接符: & 表示任务在后台执行,如要在后台运行redis-server,则有 redis …
vulnhubDC-2渗透记录
环境配置: kali: 192.168.220.149 dc-2: 192.168,220.154 渗透过程: …
vulnhubDC-1渗透记录
DC下载地址: https://www.vulnhub.com/timeline/ DC Challenges …