Von's Blog

Thinking will not overcome fear but action will.

内网渗透学习(一)

内网基础知识

工作组 工作组其实就是类似于将电脑分组整理,比如行政部门组,财务部门组。主要有以下两个特点: 可以自由进出(只需修改自己电脑的工作组名称即可加入或者退出) 完全平等,没有管理和被管理之分 所以工作组虽然有一定的对内网网络进行分门别类的作用,但是不便于管理。 域(Domain) 域是工作组的升级版,但是不同的是,域有一定的安全措施。域有且至少有一个“域控制器(域控,Dom...

RMI学习(一)

RMI基础

前言 今天就开始具体Java安全的学习了,首先从RMI安全开始,但是由于RMI的不少安全问题都涉及了反序列化的问题,这方面的内容为目前暂未涉足,因此本文只是对RMI入门的第一篇文章啦。 什么是RMI RMI全称为Remote Method Invocation(远程方法调用),是让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法(也即客户端如何调用服务器端的方法)。 ...

无字母数字webshell总结

文章首发于先知社区: https://xz.aliyun.com/t/8107 建议看先知社区的那篇,博客这篇由于Jekyll的某些特性和Latex编译器的一些性质,排版有点不足 写在前面 关于无字母数字Webshell这个话题,可以说是老生常谈了。但是一直以来我都没怎么去系统的研究过这个问题,在这里做一波研究与总结。所谓无字符webshell,其基本原型就是对以下代码的绕过: <?p...

open_basedir绕过

什么是open_basedir Open_basedir是PHP设置中为了防御PHP跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义了open_basedir以后,php可以读写的文件、目录都将被限制在这些目录中。 一般情况下,我们最多可以绕过open_basedir的限制对其进行...

如何正确使用Docker出一道CTF题目

写在前面 前几天忙着出minil的题目,Frank要求要用Docker并且要支持动态Flag,看了网上也没有一篇文章彻底详细的讲解这个过程,鼓捣了好久才搞明白的,于是写一篇文章记录一下这个过程,也让后来的出题人可以学习一下不用走那么长的弯路。 在之前的内容中,我们已经学习了Docker的基本用法,但当时我们构建的题目,都只能在一个固定的端口上使用,如果我们要实现像每个用户分配一个动态容器,还...

Java基础学习(三)

内部类 内部类顾名思义,就是一个类当中包含另一个类,包含成员内部类和局部内部类。 成员内部类 成员内部类的定义格式为: 修饰符 class 外部类名称{ 修饰符 class 内部类名称{ } } 内部类可以任意调用外部类的属性和方法,而外部类如果要使用内部类的属性和方法,必须要借助于内部类对象。 假如在一个类C1中编写了一个内部类C2,在编译的时候,会生成两...

Python反序列化漏洞学习

Python序列化和反序列化 和PHP反序列化类似,Python序列化和反序列化的过程就是把对象转化成字符串和把字符串转化成对象的过程。 我们主要运用的是pickle这个库来实现序列化和反序列化的过程。下面,我们举一个例子来说明其工作方式: import pickle class name(): def __init__(self): self.name = 'Vo...

四天学习Flask(入门篇)

写在前面 从今天起开始学习Flask,主要参考书籍是米格尔·格林贝格的《Flask Web开发》,打算用四天的时间看完这本书的入门部分,把学习的过程每天更新在这篇文章里面,记录自己的学习过程,也给看到的人做一个参考吧。 用的是Python3的环境,主机系统为Windows10 第一天 环境的安装和虚拟环境的搭建 Windows10下使用virtualenv来创建虚拟环境 pip3 insta...

Java基础学习(二)

异常 Java中的异常继承体系如下: Mac上可用Command+option+T来快速生成 try { } catch(){ } finally{ } 注解 其实我们前面已经使用过注解了,子类对父类的覆写时我们使用的@Override实际上就是一种注解。注解不是程序本身,是对代码的某种解释,但是不像注释一样完全被编译器忽略而是会被编译器读取(比如使用@Ov...

XXE学习

什么是XXE? XXE全称是——XML External Entity,也就是XML外部实体注入攻击.漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。 XML学习 既然和XML相关,那我们就先来学习下XML的相关知识。XML 指可扩展标记语言(eXtensible Markup Language).XML被设计用来传输和存储数据。(划重点,存储!html是显示数据,两者设计的目的不...