题目来源于【攻防世界】 题目 名称： Banmabanma 编号： GFSJ0006 难度:1 题目来源：世安杯 题目描述： flag格式为flag{xxxx} 题目附件: 题解 这是【XCTF】难度系数为 1 的第 1 道题，也可以说是最基本的一道入门题。 观察图片，斑马身上的条纹酷似条形码 直接用手机扫描条形码，或者使用在线条码解析，上传图片识…

:warning: 声明： 本文仅供学习交流使用，切勿用于非法用途 :warning: :hammer: 原理介绍 Redis 未授权访问 准确的来说，其实并不是一个漏洞。而是由于开发人员配置不当，而产生的预料之外的危害。 具体原理： 可能由于部分业务要求，或者开发人员的配置不当，将 redis 服务器的 ip 和 port 暴露在公网上； 开发人…

Log4j RCE （CVE-2021-44228） 2021 年 12 月 9 日，阿里云安全团队向 apache 报告了由 log4j 日志引起的远程代码执行漏洞。 2021 年 12 月 10 日凌晨，log4j 漏洞利用细节被公开，几乎所有的互联网公司都受到影响。 2021 年 12 月 10 日，各 src 陆续关闭 log4j 漏洞提交…

目标系统： https://lm.xxxxxx.com/ 测试日期： 2024/02/23 测试人员： 说明： 本系统为生产环境，允许互联网访问 本次测试主要针对登录认证相关模块。 测试结果 漏洞汇总： 威胁等级 漏洞数量 漏洞名称 高危 1 任意密码重置 漏洞详情： 漏洞类型 漏洞名称 漏洞位置 测试结果 越权类 任意用户登录 https://l…

目标系统： https://automate.xxxxx.com/ 测试日期： 2024/01/26 ~ 2024/01/31 测试人员： 说明： 本系统属于公网系统，允许互联网访问 本次测试属于【弱口令专项】，主要针对弱口令、未授权等方向进行测试。 测试结果 漏洞汇总： 威胁等级 漏洞数量 漏洞名称 高危 1 弱口令登入 漏洞详情： 漏洞类型 漏…

背景 2023 年 9 月 18 日，接到运维部消息，有一台服务器被举报为恶意服务器，展开排查。 处置思路 确认威胁状态、原因 确认服务器状态、用途、影响 应急（仅保证必要程序运行，下线非不要服务，备份服务器，必要时直接下线服务器） 排查服务器通信状态、进程、后门、日志等 清除木马文件 评估事件损失，恢复服务器状态 木马文件入口排查，安全加固 梳理…

这篇文章受密码保护，输入密码才能阅读

这篇文章受密码保护，输入密码才能阅读

1. 题目在持续收集，欢迎各位在评论区补充。 2. 题目还没来得及分类整理，后续答案整理的差不多了会做 3. 题目收集比答案快太多了，有些题目还没来得及收集答案，欢迎各位大佬在评论区提供答案 4. 如果收集到的答案有不完整的或者错误的，欢迎各位大佬指正 5. 如果有伙伴面试遇到的问题这里没有整理到的，欢迎留在评论区一起讨论答案 护网面试（蓝队） S…

前言 Ruoyi 的 v4.7.6 是 2022 年 12 月 16 日发布的一个版本，而任意文件下载漏洞实际上 12 月底的时候就已经爆出了，也陆续有一些文章在写这个漏洞，但是 Ruoyi 一直没有更新修复。 上月中旬（2023 年 4 月中），Ruoyi 更新了 v4.7.7 版本，通过加固了白名单限制，修复了该漏洞。 记得及时更新昂！ Ruo…