第三期 NSATP-A 初级试题(2018.Years)

NSATP

NSATP 全国网络安全应用检测专业技术人员认证
我自己审过一遍,部分题有些不严谨,但是我没变动,参考需谨慎.

shadowsocks deploy

安装shadowsocks

shadowsocks是用python写的,直接使用pip install 安装即可

1
pip install shadowsocks

group by with rollup

group by 用于结合合计函数,根据一个或多个列对结果集进行分组。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
mysql> select id,username,password from demo_member;
+------+----------+----------------------------------+
| id | username | password |
+------+----------+----------------------------------+
| 1 | admin | 7fef6171469e80d32c0559f88b377245 |
| 2 | guest | e10adc3949ba59abbe56e057f20f883e |
+------+----------+----------------------------------+
2 rows in set (0.00 sec)

mysql> select id,username,password,count(*) as sum from demo_member group by password;
+------+----------+----------------------------------+-----+
| id | username | password | sum |
+------+----------+----------------------------------+-----+
| 1 | admin | 7fef6171469e80d32c0559f88b377245 | 1 |
| 2 | guest | e10adc3949ba59abbe56e057f20f883e | 1 |
+------+----------+----------------------------------+-----+
2 rows in set (0.00 sec)

mysql> insert into demo_member
-> values(3,"test","7fef6171469e80d32c0559f88b377245");
Query OK, 1 row affected (0.00 sec)

mysql> select id,username,password,count(*) as sum from demo_member group by password;
+------+----------+----------------------------------+-----+
| id | username | password | sum |
+------+----------+----------------------------------+-----+
| 1 | admin | 7fef6171469e80d32c0559f88b377245 | 2 |
| 2 | guest | e10adc3949ba59abbe56e057f20f883e | 1 |
+------+----------+----------------------------------+-----+
2 rows in set (0.00 sec)

mysql>

Terminal DIY

0x01 zsh && (oh-my-zsh)

安利一个Linux下终端美化产品zshzsh有强大的配置功能,可以任意配置你的zsh成你想要的样子,为了简化配置而提供一个配置模板oh-my-zsh,通过oh-my-zsh来更好的管理zsh的各项配置。
官网:http://ohmyz.sh
GitHub:https://github.com/robbyrussell/oh-my-zsh

XML External Entity Injection

0x01 浅谈XXE

XXE是什么

XML External Entity Injection 字面意思 XML外部实体注入,通常被叫做XXE注入漏洞。
在 2013年旧版的 OWASP TOP 10 中被归类为 A4 级别的安全问题 ( A4:不安全的直接对象引用 ).2017年 新版的 OWASP TOP 10 将 2013年 的 A4 级别安全问题和另外一个 A7 级别的安全问题都归类到新版的 A4 中,命名为 ( A4:失效的访问控制)。

iptables 详解

前言

关于iptables个人感觉里面还是有很多东西的,早几年有学过,后来因为工作的原因,就逐渐淡忘。
最近打算重拾一下,然后各种查阅文献(参考网络),找运维老师傅发参考文档研究,同时整理下此文。
希望看到该文的读者能大概有所了解.

Linux用户管理

新建用户

​ Linux创建新用户的命令(useradd 、adduser)

SSH安全配置

SSH (Security Shell)

SSH(安全外壳协议)为建立在应用层基础上的安全协议。
SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

2017广东省第二届"强网杯"信息安全攻防赛-writeup

前言

​ 赛事:广东省第二届 “强网杯”
时间:2017年9月9日10:00——2017年9月10日18:00,共32小时 (预赛)
题目涵盖:Misc、Crypto、Web、Reverse、Pwn

st2-052(CVE-2017-9805)远程代码执行漏洞复现

情报

首先 “吐槽” 一下. 朋友圈的“态势感知”真心吓人, 漏洞刚爆出来,分分钟就被刷屏,连poc在网上都还没找到,就有人发复现截图……
我在知道这个漏洞的时候,大概是2017年9月5日晚22:00左右,漏洞大概在21:00左右的时候发布的吧,具体时间这个就不追究了。
参考地址:https://cwiki.apache.org/confluence/display/WW/S2-052
影响版本:Struts 2.5 - Struts 2.5.12
漏洞描述:当启用 Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。
修复建议: