i春秋新春战疫部分题目writeup
本次比赛一共三天,每天的题目都不一样,时间是够的,下面总结一下这次比赛的一些题目的做题过程,主要是Misc和Web方向的,其中有些是当时做出来的,有的是赛后复现的。
本次比赛一共三天,每天的题目都不一样,时间是够的,下面总结一下这次比赛的一些题目的做题过程,主要是Misc和Web方向的,其中有些是当时做出来的,有的是赛后复现的。
这次比赛的Web题目都比较基础,总共有五道,考察的知识点也都比较明显,所以借这次的题目来简单介绍一下几种漏洞的简单利用方法,下面的解题过程有的地方会写的比较细,主要是写给我们萌新看的,大佬们轻喷。
平常在使用Linux系统时,我们大多是在电脑上安装Windows+Linux双系统或者安装Linux虚拟机,双系统虽然可以充分利用电脑的性能,但是切换起来太麻烦了,而使用虚拟机又要考虑为它分配多少内存等问题。而Windows子系统的出现,可以解决上面两个问题。
NTFS数据流文件也被称为 Alternate data streams,简称ADS,是NTFS文件系统的一个特性之一,允许单独的数据流文件存在,同时也允许文件附着多个数据流,除了主文件流之外还允许许多非主文件流寄生在主文件流中,使用资源派生的方式来维持与文件的相关信息,并且这些寄生的数据流文件我们使用资源管理器无法看到。
隐写是杂项中很重要的一部分,这种题在了解了隐写的基本姿势之后还是比较简单的,一些低分值的隐写题一般会与古典密码或者一些基本的编码相结合,而高分的题目则通常用与一些较为复杂的现代密码学知识结合在一起,很好地体现了 Misc 题的特点。
近几年涌现了许多经典的因为反序列化导致的远程代码执行漏洞,像fastjson,jackson,struts2,weblogic这些使用量非常大的产品都存在这类漏洞,但不幸的是,这些漏洞的修复方式都是基于黑名单,每次都是旧洞未补全,新洞已面世。通过上一篇《Java反序列化原理》可以看出该类型漏洞的影响还是很大的,下面将从漏洞检测以及漏洞利用来进一步介绍java反序列化在实战中的一些利用。
本次比赛时间9月9日10:00-9月13日23:59,每天放出三道题,题目包含Web、Reverse、Misc,可以说做题时间非常充足了,但是由于是个人赛,而我也只接触过一点Web和Misc,所以整个做题的过程还是比较艰难的,毕竟和师傅们比,自己学的东西还是太少了,下面是一些题目的记录,都是些相对简单的题目。
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。
序列化和反序列化是java引入的数据传输存储接口,序列化是用于将对象转换成二进制串存储,对应着writeObject,而反序列正好相反,将二进制串转换成对象,对应着readObject,类必须实现反序列化接口,同时设置serialVersionUID以便适用不同jvm环境。
平时在渗透过程中,对端口信息的收集是一个很重要的过程;收集好端口的信息,然后找到对应的服务,针对一些服务使用特定的攻击方式,就可以增大成功的几率;接下来就详细通过渗透实战对端口的渗透进行更加深入的剖析;