C1imber's Blog

C1imber's Blog

信息安全原创技术博客

Ettercap实现局域网dns劫持

Ettercap实现局域网dns劫持百度

很久之前做过的一个实验,利用kali的Ettercap进行局域网的dns劫持,今天实验课老师碰巧又提到了,于是又做了做,这是一个很好玩的实验

eNSP静态路由配置

eNSP静态路由配置

这篇文章的内容来自老师上课布置的一个任务,配置静态路由,想学习好网络安全,这种网络协议的基础是必须要掌握的,也是为了之后的入侵检测系统学习打下基础

N1CTF2018 77777 writeup

N1CTF2018 77777 writeup

之前比赛开始时看了签到题,死活没写出来,泪,之后听同学说起了这道题,在结束前不到一小时做了做,无奈比赛结束,flag没交上去,那就记录一下过程吧

centos7安装mysql

centos7安装mysql

由于MySQL为Oracle公司所拥有因此不再免费,所以CentOS7以上的版本已经使用MariaDB替代了收费的MySQL,如直接用yum安装则会安装MariaDB。这篇文章记录了如何在centos7上安装mysql

KPPW2.5XSS引起的CSRF

kppw2.5XSS漏洞分析与复现(可csrf)

漏洞说明

http://192.168.50.157/kppw25/index.php?do=user&view=message&op=send

收件人填目标用户名,标题随便,内容没有转义 ,所以提交内容处可能存在xss,不过过滤了敏感标签和 onerror onload等事件。虽然不能加载js代码,但是还是可以注入html代码,可以用xss漏洞注入html代码触发csrf

dvwa Command Injection

dvwa命令执行漏洞

命令执行漏洞

由于代码使用了危险的函数并且过滤不严导致可以远程执行命令,属于十分高危的漏洞,甚至攻击者可以直接利用该漏洞拿下一整个服务器的最高权限,比较典型的有struts框架远程代码执行漏洞

来看dvwa,感觉例子并不是多好

avatar
C1imber
Learning to be good at thinking, thinking, thinking.