折戟

龅牙晴的爸爸

面试准备(实时更新)

一、基础学科知识1.1 计网基础知识 SSL握手-传送门 * **"client hello"消息**:客户端通过发送"client hello"消息向服务器发起握手请求,该消息包含了客户端所支持的 TLS 版本和密码组合以供服务器进行选择,还有一..


从用户枚举到任意用户密码修改

从用户枚举到任意用户密码修改 背景最近一次授权的渗透测试,该网站只有一个后台,对系统进行探测只开放了80和443,规范的端口开放,也只能从web应用进行进一步测试了。只有一个后台只能从登陆的相关业务点去突破了。 过程用户名枚举web后台如下,在没有账号的情况下,我们只能通过在正常的登录逻辑中寻找..


一次验证码安全测试

一次验证码安全测试 背景最近在对某产品进行安全测试时,在对登录功能模块的逻辑漏洞进行检测时,在验证码检测发现一定的安全缺陷。 详情不安全的验证码在该产品的登录功能处存在忘记密码和注册子功能,这两个子功能都有发送短信验证码和手机验证码以及在图像验证码。其中图像类型验证码如下:刷新验证码收到的res..


一次服务器被传webshell事件溯源

一次服务器被传webshell事件溯源 背景web服务器使用SiteServer开源CMS为建站模板,该类cms属于漏洞高发区,频频会爆出高危漏洞。这次的应该是个在野0day。 起因阿里云安骑士告警 溯源过程 可以看到阿里云安骑士报了存在服务器存在webshell,访问该链接,显示403,应该是..


OVS+Linux Vxlan组网

OVS+Linux Vxlan组网 背景因为科研需要做些小实验,涉及到交换机的网口数据的镜像转发。之前疫情在家使用一台本地虚拟机搭建OVS并作为KVM宿主机,OVS搭建网桥,OVS新建虚拟机并使用指定网桥。因为KVM中的虚拟机需要更改内核并重新编译,所以过程确实很繁琐。这次学校内的“私有云”搭建..


Fedora虚拟机扩容及编译安装新内核

Fedora虚拟机扩容及编译安装新内核 虚拟机扩容 关闭虚拟机,在虚拟机管理软件上分配新的硬盘容量(之前20G,现在40G)。 启动虚拟机,进行根目录空间扩容。fdisk -l 可以看到磁盘是/dev/sda总共为40G,但是下面两个分区一共只有20G,说明还有20G没有分区,需要我们手动进..


推荐-Google Cloud Shell

推荐-Google Cloud Shell 背景作为一名安全从业者,服务器从来是不嫌多的,阿里云学生优惠都买到了2022年了。当然国外的服务器需求更是强烈,有时候确实真的除了搭梯子真的没啥用,不过自己搭建的梯子真的不如机场的,不管什么敏感时期照样youtube 4k飞起,虽然很多机场都是按流量卖..


ZABBIX企业微信webhook告警踩坑

ZABBIX企业微信webhook告警踩坑 原教程连接链接教程不够完善,有点坑,害我调试了好久。这里用户群组原教程设为:WHLAIX_IT,我这里设置的是Zabbix的管理用户,上面CSDN的教程中缺少了在用户组中添加告警媒介的一步。用户–>报警媒介加上就行