Java Security Study Notes (Basic)
0x01 ClassLoader
ClassLoader 是 Java 运行时环境 JRE 的一部分,用于动态加载 Class 到 JVM 内存空间,Java 源代码(.java) 经 javac 编译后生成类文件(.class),再由 JVM 来解析执行类文件字节码(ByteCode)。
ClassLoader 类型
JVM ClassLoader 子系统根据类的类型及路径来决定加载该类的 ClassLoader,ClassLoader 有三种默认类型:
BootStrap ClassLoader 引导类加载器:Bootstrap 类加载器是一种机器代码,当 JVM 调用它时会启动该操作。它不是一个 Java 类,其工作为加载第一个纯 Java Class...
域渗透中的 Kerberos 委派攻击
域委派 是指将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。委派主要分为 非约束委派(Unconstrained delegation) 和 约束委派(Constrained delegation)。
0x01 非约束委派
Unconstrained Delegation
在托管 TGS-REQ 中引用的服务主体名称(SPN) 中指定的服务的服务器上启用 Kerberos 非约束委派时,DC 将用户的 TGT 副本放入服务票据中。当用户的服务票据(TGS 票据)提供给服务器来访问服务时,服务器将打开 TGS 票据,将用户的 TGT 放入本地安全认证子系统服务 LSASS,以供以后使用,此时应用服务器可以无限制地模拟用户身份。
1a. 用户密码转换为...
Fluent Python Study Notes
1. Python 数据模型
1.1 一摞有序的纸牌
import collections
Card = collections.namedtuple('Card', ['rank', 'suit'])
class FrenchDeck:
ranks = [str(n) for n in range(2, 11)] + list('JKQA')
suits = 'spades diamonds clubs hearts'.split()
def __init__(self):
self._cards = [Card(rank, suit) for suit in suits
...
Nim Manual Study Notes
Nim 是一种静态类型的、编译型、系统编程语言。它结合了其他成熟语言的成功概念。(如 Python、Ada 和 Modula)
词法元素
Nim 词法元素由(字符串)字面值、标识符、关键字、注释、操作符、和其它标点符号构成。
字符串和字符字面量
字符串字面值通过双引号括起来;字符字面值用单引号。特殊字符通过 \ 转义: \n 表示换行, \t 表示制表符等.
r"C:\program files\nim" # 原始字符串字面量,\ 不转义
'''hello\world''' # 长字符串字面量,\ 不转义
注释
单行注释:#、文档注释 ##
多行注释:#[....]#、discard '''xxxx'''
数字
下划...
Oracle 操作语句及注入总结
0x01 基础知识
Oracle 是甲骨文公司的一款关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。
体系结构
Oracle Server 由两个实体组成:
实例 Instance:实例是数据库启动时初始化的一组进程和内存结构
实例 = 后台进程 + 进程所使用的内存(SGA, 系统全局区域)
后台进程:负责接受和处理客户端传来的数据,如 Windows 下由 oracle.exe 进程负责分发和处理请求。
系统全局区域 SGA:内存共享区域,包含实例配置、数据缓存、操作日志等信息,由后台进程进行共享。
通常数据库实例会用一...
内网渗透测试 <5> 横向移动
Windows Commands
net use
IPC(Internet Process Connection) 进程间通信,指至少两个进程或线程间传送数据或信号的一些技术或方法。IPC 共享“命名管道”的资源,是为了实现进程间通信而开放的命名管道。通过 IPC$ 可以与目标机器建立连接,来访问目标机器中的文件,进行上传、下载操作;运行其他命令,获取目标及其的目录结构、用户列表等信息。
IPC$ (空会话连接)是 Windows 系统内置的一个功能模块,它的作用有很多(包括域帐号枚举),但是其中对于攻击者最关心地还是它的网络文件共享能力,它允许本机的进程/服务以命名管道(named pipe)的形式连接连接上来以实现文件的共享传输,根据对应 IPC$ 共享目录的 ACL 权限来...
《计算机网络》(7) 复习笔记
0x01 概述
1.1 互联网概述
计算机网络由若干结点(node)和连接这些结点的链路(link)组成。结点可以是计算机、集线器、交换机、路由器等。网络之间可通过路由器互连,构成互连网 (internet)。网络把许多计算机连接在一起;互连网则把许多网络通过路由器连接在一起。与网络相连的计算机称为主机。互联网 (Internet)指当前全球最大的、开放的、由众多网络互相连接而成的特定互连网,采用 TCP/IP 协议族作为规则。
互联网基础结构发展三阶段
从单个网络 ARPANET(单个分组交换网)向互连网发展的过程。
建成三级结构的互联网。
分为主干网、地区网和校园网(或企业网)
形成多层次 ISP 结构的互联网
物联网...
网络攻击与防御课程复习笔记
- 考试相关 -
考核形式:平时 50% + 期末 50%
平时:课堂问答、作业 + 报告
期末:笔试(闭卷,多代码分析,需实践)
考题类型:
论述题(30%) 3 * 10’
材料分析题(20%) 1 * 20’
代码分析题(50%) 1 * 20’(Web) + 1 * 30’(BIN)
分值分布:
Web 40’
BIN 40’
Mobile 20’
0x01 Web Security
OWASP TOP 10
开放式 Web 应用程序安全项目(OWASP,Open Web Appli...
共计 56 篇文章,7 页。