1、如何写博客
需要在Blog\source\_post\下,新建一个 md文件即可。
这里分享一个在线编辑博客小技巧,在Blog根目录下右键git bash,然后敲hexo s -g就会在本地开启4000端口,就可以去浏览器访问本地了,然后编辑文档完后保存,浏览器里刷新页面就可以实现同步更新,当然最后需要提交的,也就是hexo clean & hexo g & hexo d。缺点就是需要手动去刷新页面,网上方法很多,都可以试试。
2、如何插入图片
插入图片需要在这个目录下插入才行:Blog\themes\next\source\images,否则不会在页面显示的。
在写博客之前首先得会自己的markdown编辑器的使用。
ctfshow
未读极限命令执行1
这题有点无语啊,已知这题问号没过滤,所以可以用正则来构造命令获得flag,但是已知回显不出来,看来wp发现多了个点,因为在centos命令下直接用斜杠/是可以直接执行命令的,所以不需要点也可以执行。
1ctf_show=/?????a?
还有一个应该是/bin/base64 /flag,可以的。我用cat不能回显,可能过滤了。
1ctf_show=/???/?a??64 /??a?
漏洞复现
未读ShiroApache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。
CVE-2016-4437
参考文章:
1、http://changxia3.com/2020/09/03/Shiro%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E7%AC%94%E8%AE%B0%E4%B8%80%EF%BC%88%E5%8E%9F%E7%90%86%E7%AF%87%EF%BC%89/#0x2-%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA
2、https://blog.csdn.net/qq_44769520/article/details/123476443
Shiro-550反序列化漏洞
0x01 环境搭建环境搭建可选择在本地搭建,也可以用docker搭建,这里我是在ubuntu虚拟机里搭建的。
首先准备环境需要的一些东西:
tomcat 8.5.76:https://tomcat.apache.org/ ...
漏洞复现
未读漏洞复现-weblogic复现开始复现咯
CVE-2014-4210漏洞:SSRF漏洞
漏洞原因:weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
漏洞复现:
123cd vulhub/weblogic/CVE-2014-4210docker-compose up -d// 拉取完镜像后docker ps会有两个容器,一个是weblogic的,一个是redis的
访问如下路径:
1/console/login/LoginForm.jsp
img
点search然后抓包
img
1、post方法
如果指定端口开放则会返回带有404内容的提示,访问的端口不开放则会出现“not connect over”内容提示。
2、get方法
如果有Received a response字样就说明端口开放,没有就没开放。
CVE-2017-10271漏洞:XMLDecoder反序列化漏洞
漏洞原因:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的X ...
