一、Master和Slave环境确认 角色 IP 地址
TrueNAS 是什么? 一台专门用来存文件、存数据、还很安全的 “网络硬盘服务器” 系统 比如
Ubuntu 虚拟机上搭建属于自己的代码托管平台 Gitea 为什么要搭代码托管平台? 代码的保险箱+时光机:写代码怕删错、改崩?它能记住每一次修改,删错了一键恢复到之前的正常版本,不用找备份 团队协作不打架:几个人一起写代码,不会出现你改的内容被我覆盖的情况,每个人在自己的小空间写,最后轻松合并
引言 场景说明: 你是乙方交付人员,需要把一台 Ubuntu 24.04 虚拟机交付给甲方业务团队使用。 甲方有虚拟机系统内账号,并且可能打开虚拟机控制台看到 GRUB 菜单,但不应被允许通过“编辑启动参数或进入恢复模式”来绕过登录并读取数据。
记录了一次从Web应用层漏洞开始,逐步深入,最终实现容器逃逸并控制宿主机的完整渗透测试过程。测试的目标是一个模拟的容器化Web应用,其中包含常见的Web安全漏洞(SQL注入、文件上传绕过)、数据库的UDF漏洞和容器环境特有的配置缺陷(不安全的SUID程序、Docker Socket挂载)。本次渗透的
准备 需要一台防火墙、web服务器、DB服务器、OA服务器、WinServer、PC机和一台攻击机(如kali) 网络适配器设置 1.防火墙:需要4个适配器 第一个适配器选择NAT模式 适配器2的子网IP为:192.168.1.0 适配器3的子网IP为:192.168.110.0 适配器4的子网IP
引言 在 Web 安全实践中,那些“看似安全”的系统设计,往往比存在明显漏洞的实现更具威胁。今天攻打的靶机就有这个问题,该系统虽然采用了 PDO 预处理防御 SQL 注入,并引入了基于时间戳的动态加盐机制,但在代码审计的视角下,其逻辑层存在 严重的结构性缺陷。 信息收集 该靶机安装在我虚拟机上使用n
拓扑图: IP地址规划
什么是sudo逃逸? sudo 逃逸(也常称 sudo 提权)是 Linux / 类 Unix 系统中,低权限用户利用sudo 配置错误或sudo 自身漏洞,突破权限限制,获取root(超级管理员)权限的攻击手段。 一、sudo 基础 sudo(Substitute User Do)是系统权限管理工
什么是反向代理? 反向代理 = 站在服务器前面的 “中间人” 客户端只访问它,它再把请求转发给背后的真实服务器。 核心对比:正向代理 vs 反向代理 正向代理(代理客户端) 替你访问外网,隐藏客户端。 例:科学上网、公司内网代理。
