2019年 第52周 微信公众号精选安全技术文章总览

洞见网安 2019-12-30

0x1 原创干货 | 从0到1靶机实战之 djnni

云众可信 2020-01-03T18:02:02 © pr1s0n

本文详细介绍了针对靶机djnni的实战学习过程。首先，介绍了靶机的下载和环境配置，包括导入VMware和设置网络模式。接着，通过netdiscover和nmap工具进行信息搜集，发现靶机开放了FTP和SSH端口，并通过FTP匿名登录获取了一些文件信息。由于SSH连接失败，尝试连接了一个未知的1337端口，并通过gobuster工具发现了一个Web服务。通过分析Web服务，发现了一个Python环境，并通过app.py文件成功执行了反弹shell。进一步地，成功获取了用户的flag，并尝试提权，最终通过执行genie脚本获取了最高权限，实现了提权目标。文章总结了在此次实战中学到的知识点，包括工具的使用和网络安全的实际操作。

靶场实战 网络安全学习 漏洞利用 Linux系统安全 网络扫描工具 Web应用安全 Python脚本编写 权限提升

0x2 原创干货 | File Upload关于图片马的思考

云众可信 2019-12-30T17:59:42 © tkswifty

本文针对Java代码审计过程中发现的文件上传漏洞进行了深入分析。文章首先介绍了Hutool工具库中FileTypeUtil类的文件类型检测机制，该机制通过读取文件流前几个字节值来判断文件类型。作者通过分析发现，这种机制存在漏洞，攻击者可以通过在文件头部添加特定字节序列来绕过文件类型检测，从而上传恶意文件。文章进一步探讨了如何利用这个漏洞上传webshell，并给出了相应的检测代码和绕过方法。此外，文章还扩展讨论了其他文件上传检测机制，如通过Image对象属性进行检测的方法，并指出在文件上传时，开发阶段应结合多种检测方式以确保安全性。

文件上传漏洞 Java代码审计 Hutool工具库 文件类型检测 Webshell攻击 网络安全防御 二进制安全 后缀名欺骗 漏洞分析

0x3 基于AP+数据库实现WIFI认证的方案

Linux网络安全 2019-12-30T08:03:56 ©

本文介绍了一种基于AP（无线接入点）和数据库实现的WiFi认证方案。该方案旨在提高WiFi的安全性，适用于WiFi安全爱好者和学习者。文章详细描述了环境配置，包括Apache、PHP 7.3、MySQL和Kali Linux的安装和配置。首先，将站点上传到指定目录，并配置config.php文件以连接数据库。接着，启动Apache和MySQL服务，并检测数据库连接。文章还提供了数据库配置的详细步骤，包括如何解决root用户无法通过IP地址登录的问题。最后，介绍了如何通过DNS劫持进行钓鱼攻击，并提供了相关工具和附件的下载链接。

WIFI安全 数据库安全 Web安全 网络钓鱼 系统安全 权限提升

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。