给2022来段总结

好久没有在这个Blog上发表自己的文章了,今天突然想起,2022年初的时候给自己定了一个目标,每年写一次年度总结,记录自己的生活。往日虽已不可追,但犹可记录下来以供日后品味。 2022,经历的事情比2021更多了,我也渐渐完成了由小孩从大人的转变,真正的开始考虑自己未来的生活该怎么过,如果真要给今年一个年度关键词,那就是成长。 我之前始终还是觉得自己还很小,还是以学生的视角来观察整个世界,想法

杂文 生活感悟

从RCE到桌面登入

在攻防演练中,Windows主机RCE之后应该去做什么?自然是上传C2去用命令行进行后渗透,但我就是想玩一下,想要去远控桌面,进行一些操作,该怎么办? 这是真实渗透测试中的一个场景,我拿到了一个System权限的Webshell,可以上传文件,我成功上线CS,我想用cs自带的远控去操控机器玩下,却发现打开一直在黑屏,对面服务器部署在云上,云防火墙上3389端口也没有开,那么我们该如何去进行远程

安全研究 渗透测试

摘抄

他放下酒碗,拿起双筷子,以竹筷击酒瓮,放声而歌:“喝不完的杯中酒,唱不完的离别歌,放不下的宝刀,上不得的高楼,流不尽的英雄血,杀不完的仇人头”。 话已经说完了,只有那一句?杨凡仿佛在沉思,过了很久,才缓缓道:“有时一句话,就已胜过千言万语!” 世人皆以痛楚、孤独、悲伤为大境界,以为这就是深邃的人生,殊不知快乐才是人生的真谛,一个人获取欢乐的能力,才是真正有用的能力。 伤春悲秋,离愁别绪太容易了,读

摘抄 偶有所得

记一次曲折的渗透测试

本次渗透测试为授权测试,信息皆做脱敏处理 启拿到网站,其中一个资产为该单位办公系统,看到界面比较老,感觉有戏, 所用系统为九思oa,先去搜一下已公开的poc看看能不能去打 搜到了两个,尝试无果,就把所有资产都丢进awvs里扫一下,抱着试一试的心态去看看能不能扫出东西来 发现此处存在sql注入,可执行sleep语句,就去抓个包,尝试用sqlmap一把梭 1python sqlmap.py

安全研究 渗透测试

给2021来段总结

​ 这不是篇关于技术的文章,现在是2022年1月2日21:50分,我听着Eason的歌在复习HTML,看到一则朋友圈,突然想给自己的2021一个总结,立一个Flag吧,每年年初都给自己上一年写篇总结,只是想把得失记录下来,让以后回忆时有个依靠,把心中的遗憾写下来,惊醒以后的自己,也算是倾泻我的表达欲。 ​ 2021,应该是我自出生以来经历事情最多的一年了,我

杂文 生活感悟

PHP命令执行最全面的总结

总结一下PHP中命令执行的方法,把知识点汇成一个体系,Work hard! 什么是命令执行漏洞?以php为例,产生该漏洞的原因就是系统在某个点调用了可以执行命令的函数,如eval,system,特殊(include)等,这些函数的参数用户可控,进而黑客可以执行一些对系统有威胁的命令,如获取敏感文件、删除信息等,进而危害到系统。其他语言如java、python也是如此。 在CTF比赛中,命令执行

CTF 安全研究

Life

生活​ 好久没有写随笔了,自从高三之后,就没有再安安稳稳地握一次笔,脑中就没有再冒出些奇思妙想,似乎所有的灵感都在高一高二用光了,似乎没有什么可写的了。 ​ 来海大已经一年了,经过高三高考的挫折以及高四的奋斗,我终于来到了我的远方,这里有海有酒有自由的生活,但是我却觉得缺点什么。 ​ 我原以为上大学之后会有大把的时间供我去阅读,去阅读那些高中非常想看但却没

杂文

Hero

英雄江湖上,人人都承认的高手并不多。欧阳乾坤算一个。欧阳乾坤不姓欧阳,也不叫乾坤。他本名叫刘满堂。名字是奶奶取的,农村人取名字朴实,希望将来刘家能四世同堂。 刘满堂并没想着要行走江湖。他娶了个媳妇,买两亩地,盖三间大瓦房,生一窝孩子。一件事情改变了这一切。江湖上,正邪不两立,邪教已被正派人士屠戮殆尽,只剩下一个教主还负隅顽抗。正派人士一路追杀,追到了刘满堂所在的村子。教主身受重伤,却没有人愿意给他

杂文 摘抄