ruoyi-vue-pro代码审计
2024-10-23🌱湖州: ☀️ 🌡️+13°C 🌬️←4km/h 线上实践项目地址:http://zlbz.uzz.edu.cn/login 源码项目地址:https://github.com/YunaiV/ruoyi-vue-pro 使用CodeQL进行分析 生成数据库 1codeql database create D:/tools/CodeQL/databases/codeql_ruoyi-vue-pro --language="java" --command="mvn clean install --file pom.xml" --source-root=D:\JavaProgram\ruoyi-vue-pro\ 这里审计的是最新版本的,并没有发现什么漏洞,果然经常更新的项目是没有啥漏洞的
使用codeql进行代码审计
2024-10-18🌱湖州: 🌦 🌡️+28°C 🌬️→10km/h 前提按照我之前的文章CodeQL的使用下载配置好环境 codeql vscode 步骤🎏准备阶段首先打开以下的网址,里面是官方提供的ql查询方法,可以直接使用 https://codeql.githubdocs.cn/codeql-query-help/java/ 创建数据库1codeql database create D:/tools/CodeQL/databases/codeql_ruoyi-wechat-mp --language="java" --command="mvn clean install --file pom.xml"...
Linux应急响应流程
✍内容查看系统基本信息 系统版本uname -a 安装时间stat /root/anaconda-ks.cfgstat /lost+found/ 获取主机名cat /etc/hostname 系统目前安装的rpm rpm -qa rpm -V -a 查看防火墙规则iptables-save > path 查看当前的进程ps -aux 查看加载的所有模块lsmod 网络信息 网卡信息ip a dns信息 cat /etc/resolv.conf 路由表 route -n arp表arp -a 网络端口信息netstat -antpul 日志信息/var/log/cron*/var/log/mail*/var/log/mysqld.log*/var/log/yum.log*等等
Linux常规检查
✍内容文件检查🎇历史命令 root用户执行过的历史命令 /root/.bash_history 对应的用户执行过的历史命令 /home/{username}/.bash_history 当前用户执行过的历史命令 history 1、快速备份历史命令,然后检查 1cd /tmp 1mkdir cmd 1cd cmd 1cp ~/.bash_history root_history 123find /home -name .bash_history -exec cat {} \; > /tmp/cmd/user_historyOR find /home -name .bash_history | xargs cat >...
Linux常用命令
✍内容statnetstat123456789-n 不适用域名,使用IP-a 显示所有的sockets连接-t 显示所有的tcp连接-u 显示所有的udp连接-p 显示进程号-l 显示附加信息一般是直接使用netstat -antup即可 lsof12345678lsof -c sshd显示服务sshd打开的文件lsof -p pid显示进程号为pid的进程情况lsof +d /tmp显示目录下被进程打开的文件lsof +D /tmp递归显示目录下被进程打开的文件 ps12ps -aux top动态显示内存占用情况 grep\12-i 忽略大小写-r 排除匹配到的项目 find12345678910find path -name 项目在path路径下寻找指定项目find path -perm 777在path路径下寻找指定权限的项目find path -mtime -n在path路径下修改时间小于n天的find path -mtime +n在path路径下修改时间大于n天的 tcpdump123456789101112tcpdump -i...
ruoyi-wechat-mp代码审计
✍内容部署ruoyi-wechat-mp下载1git clone https://gitee.com/zhangjqi2015/ruoyi-wechat-mp.git ruoyi官网文档https://doc.ruoyi.vip/ruoyi/document/hjbs.html#%E9%83%A8%E7%BD%B2%E7%B3%BB%E7%BB%9F 安装参考文档https://blog.csdn.net/m0_67376124/article/details/127617498 修改数据库的连接配置打开ruoyi-wechat-mp/ruoyi-admin/src/main/resources/application-druid.yml 1234567j# 主库数据源 master: url:...
feroxbuster
✍内容项目地址https://github.com/epi052/feroxbuster 下载 Linux 123下载到当前的目录curl -sL https://raw.githubusercontent.com/epi052/feroxbuster/main/install-nix.sh | bash Windows 123Invoke-WebRequest https://github.com/epi052/feroxbuster/releases/latest/download/x86_64-windows-feroxbuster.exe.zip -OutFile feroxbuster.zipExpand-Archive .\feroxbuster.zip.\feroxbuster\feroxbuster.exe -V kali 1sudo apt update && sudo apt install -y feroxbuster 更新1./feroxbuster --update 注意事项 默认扫描比较野蛮,建议做一些限制 默认添加了...
4-zero-3
✍内容项目地址https://github.com/Dheerajmadhukar/4-ZERO-3 4-ZERO-3 Tool to bypass 403/401. This script contain all the possible techniques to do the sam 使用方法帮助bash 403-bypass.sh -h Usage / Modes Scan with specific payloads: [ --header ] Support HEADER based bypasses/payloads 1root@me_dheeraj:$ bash 403-bypass.sh -u https://target.com/secret --header [ --protocol ] Support PROTOCOL based bypasses/payloads 1root@me_dheeraj:$ bash 403-bypass.sh -u https://target.com/secret...
代理池
✍内容https://github.com/jhao104/proxy_poolhttps://github.com/safe6Sec/proxyServer Installing首先下载配置proxy_pool 1234567git clone https://github.com/jhao104/proxy_pool.gitcd proxy_poolpip3 install -r requirements.txt 然后因为项目需要用到redis,所以需要下载redis apt install redis 然后在项目中的setting.py中将redis连接的密码改成空密码 下载proxyServer https://github.com/safe6Sec/proxyServer/releases/download/v1.0/proxyServer.jar 使用方法 启动redis redis-server 启动proxy_pool 开启两个终端,启动如下的命令 123python3 proxyPool.py schedulepython3 proxyPool.py...
