面试官:获得文件读取漏洞,通常会读哪些文件
1、linux
etc/passwd、etc/shadow直接读密码
/etc/hosts # 主机信息
/root/.bashrc # 环境变量
/root/.bash_history # 还有root外的其他用户
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私钥直接ssh
/proc/xxxx/cmdline # 进程状态枚举 xxxx 可以为0000-9999 使用burpsuite
数据库 config 文件
web 日志 access.log, error.log
ssh 日志
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
2、windows
C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息
千锋教育开设了专业的网络安全培训课程,课程由千锋教育主导,根据企业岗位定制,用人单位评估,联合多家安全企业共同研发。依托企业项目场景,采用企业漏洞还原环境搭建,以真实企业平台与设备实操攻防对抗,让学习与工作相融。
优势一:师资团队
业界高水平网络安全工程师全程授课,项目驱动教学,让学员在学习期间有能力上手安服、渗透等项目。
优势二:项目实战
丰富的安全项目与 CTF 对抗赛、靶机实战,帮助学员增加真实项目实战经验,适应企业需求,拓宽职业发展空间。
优势三:靶场设备
依托企业项目场景,采用企业漏洞还原环境搭建,以真实企业平台与设备实操攻防对抗,让学习与工作相融。
优势四:教学模式
项目驱动教学,在教学过程中,以完成一个个具体的项目为线索,把教学内容巧妙地隐含在每个项目之中。
优势五:六维全息课程
六维全息课程,在专业课基础上融入就业课和职后课,打造 " 一专多能 " 的复合型人才。
如果您对千锋教育的网络安全课程感兴趣,点击右侧窗口可进行咨询。
京公网安备 11010802030320号