關(guān)于政務(wù)移動(dòng)門戶的新思考:

上表為學(xué)者研究的政務(wù)渠道與若干指標(biāo)項(xiàng)的比較。同時(shí)，從電子政務(wù)的信息補(bǔ)償理論出發(fā)，擁有一個(gè)可控、自有、權(quán)威的信息發(fā)布平臺(tái)對(duì)于政府公信力的提升是可行的。 綜上，多角度考慮，實(shí)現(xiàn)政務(wù)新媒體融合平臺(tái)與官方app形成新型政務(wù)移動(dòng)門戶的可行性較高，且能從用戶黏性等多個(gè)角度帶來顯著提升。 服務(wù)型政府123.png 待編輯

美國稱對(duì)肉類加工商 jbs 的勒索軟件攻擊可能來自俄羅斯:

白宮6月1日表示，巴西的肉類供應(yīng)商 jbs 告訴美國政府，對(duì)該公司在北美和澳大利亞分公司的肉類生產(chǎn)造成破壞的勒索軟件攻擊，源于一個(gè)可能設(shè)在俄羅斯的犯罪組織。 白宮發(fā)言人卡琳·讓-皮埃爾說，美國與俄羅斯政府聯(lián)系，聯(lián)邦調(diào)查局正在調(diào)查?！鞍讓m正在就此事直接與俄羅斯政府接觸，并傳達(dá)出負(fù)責(zé)任的國家不窩藏勒索軟件罪犯的信息，”讓-皮埃爾說。 jbs 還擁有雞肉加工商 pilgrim’s pride co 的大部分股份，該公司以 just bare 品牌銷售有機(jī)雞肉。 受影響的系統(tǒng)暫停jbs 表示，它暫停了所有受影響的系統(tǒng)，并通知了當(dāng)局，并且備份服務(wù)器不受影響。圣保羅的一位代表表示，這對(duì)巴西的業(yè)務(wù)沒有影響。 該公司表示，周日的網(wǎng)絡(luò)攻擊影響了其北美和澳大利亞的 it 系統(tǒng)，“事件的解決需要時(shí)間，這可能會(huì)延遲與客戶和供應(yīng)商的某些交易?！?br>
中科點(diǎn)擊：如何快速打造一個(gè)大數(shù)據(jù)應(yīng)用平臺(tái)？:

大數(shù)據(jù)越來越多地被國家和地方政府提及，成為促進(jìn)經(jīng)濟(jì)新一輪增長(zhǎng)，搶占發(fā)展先機(jī)的，區(qū)域競(jìng)爭(zhēng)的新興產(chǎn)業(yè)。 顯然，大數(shù)據(jù)已經(jīng)成為國家贏得現(xiàn)代競(jìng)爭(zhēng)的戰(zhàn)略性因素，但是，真正懂得利用大數(shù)據(jù)的政府單位和企業(yè)還為數(shù)不多。 在實(shí)際應(yīng)用中，很多企業(yè)的管理層特別是傳統(tǒng)企業(yè)的管理層做出決策的時(shí)候更多是因?yàn)橹饔^因素而不是靠數(shù)據(jù)分析和數(shù)據(jù)挖掘。 一切脫離應(yīng)用場(chǎng)景的大數(shù)據(jù)平臺(tái)都是無源之水 我們?cè)谧龃髷?shù)據(jù)應(yīng)用平臺(tái)之前，應(yīng)該先有一個(gè)洞察，也就是洞察到即將要做的這個(gè)大數(shù)據(jù)平臺(tái)的價(jià)值在哪里，用戶在哪里，應(yīng)用場(chǎng)景在哪里？ 其中慧數(shù)汽車平臺(tái)100天上線了兩款產(chǎn)品，在整個(gè)行業(yè)來說都是一次不小的突破。

python高級(jí)變量類型:

目標(biāo)列表元組字典字符串公共方法變量高級(jí)知識(shí)點(diǎn)回顧python 中數(shù)據(jù)類型可以分為 數(shù)字型 和 非數(shù)字型 數(shù)字型 整型 (int)浮點(diǎn)型（float）布爾型（bool） 真 true 非 0 數(shù) —— 非零即真 in : in : print smoke_list藍(lán)利群 in : print smoke_list芙蓉王 in : print smoke_list萬寶路 in : print smoke_list in : in : smoke_list.reverse() in : for smoke in smoke_list: ...: print smoke ...: 萬寶路芙蓉王藍(lán)利群 in : in : smoke_list.insert(1,黃金龍) in : for smoke in smoke_list: ...: print smoke ...: 萬寶路黃金龍芙蓉王藍(lán)利群 in : in ，并且所有這些(區(qū)分大小寫的)字符都是小寫，則返回 true string.isupper() 如果 string 中包含至少一個(gè)區(qū)分大小寫的字符，并且所有這些(區(qū)分大小寫的)字符都是大寫，則返回 true

桐柏縣政府辦公政務(wù)OA系統(tǒng)：蘇仙區(qū)政府公文系統(tǒng)中繼續(xù)聊聊夢(mèng)里的那點(diǎn)事兒（下）

發(fā)展，政府機(jī)構(gòu)也需要跟上時(shí)代的步伐。傳統(tǒng)的紙質(zhì)辦公方式已經(jīng)無法滿足現(xiàn)代政府的需求。為了提高工作效率、加強(qiáng)信息管理和保障數(shù)據(jù)的安全性，我們決定引入一種先進(jìn)的政務(wù)OA系統(tǒng)。政務(wù)OA系統(tǒng)的定義和作用 辦公自動(dòng)化系統(tǒng)是一種集成多種辦公任務(wù)的軟件，它可以幫助政府機(jī)構(gòu)管理文件、流程和信息。它的主要作用是提高工作效率、簡(jiǎn)化流程、減少人力資源的浪費(fèi)以及增強(qiáng)信息的安全性。政務(wù)OA系統(tǒng)在人民政府法制辦公室的應(yīng)用 人民政府法制辦公室是一個(gè)關(guān)鍵的機(jī)構(gòu)，負(fù)責(zé)制定和執(zhí)行法律政策。因此，我們需要一個(gè)高效的系統(tǒng)來管理文件、流程和信息。政務(wù)OA系統(tǒng)為我們提供了以下幾個(gè)關(guān)鍵功能：2.1 文件管理：通過政務(wù)OA系統(tǒng)，我們可以實(shí)現(xiàn)電子文件的管理和存檔。這樣一來，我們可以輕松地搜索和訪問文件，而不再需要花費(fèi)大量的時(shí)間在紙質(zhì)文件上。2.2 流程管理：oa0x05 弱口令是個(gè)好東西 突然有這么多目標(biāo)，一時(shí)間不知從哪下手，這個(gè)時(shí)候直覺告訴我，機(jī)關(guān)單位站點(diǎn)也許是突破口。 經(jīng)驗(yàn)告訴我，此類網(wǎng)站的管理員往往缺乏安全防護(hù)意識(shí)。比較容易下手的一般是職能比較偏僻、群眾一般不會(huì)接觸到，但確實(shí)存在的網(wǎng)站，這些網(wǎng)站可能沒有域名，僅有一個(gè)ip地址，所以往往需要掃c段，或者掃某個(gè)大站的ip端口才能發(fā)現(xiàn)。 接下來首先是根據(jù)放出來的目標(biāo)，找到一個(gè)具有較多下屬單位的目標(biāo)。 然后就是最重要的信息收集： 根據(jù)關(guān)聯(lián)性，先收集域名，比如某單位的域名是：xxx.com。 先收集子域名，用在線的子域名爆破工具，或者跑腳本比如lijiejie的腳本。 列好子域名之后查找主域名和子域名對(duì)應(yīng)的ip地址。 然后通過這些ip地址反查域名（旁站）以及不同端口開放的網(wǎng)絡(luò)服務(wù)。 反查域名之后可以發(fā)現(xiàn)某些ip對(duì)應(yīng)的都是機(jī)關(guān)單位站點(diǎn)，那么可以用這些ip去跑c段。 當(dāng)然這樣也可能落下一些偏僻的站，這時(shí)候可以用谷歌語法，在線收集一波。 正好最近新了解了一個(gè)網(wǎng)絡(luò)空間引擎叫fofa，便用了一下，發(fā)現(xiàn)效果不錯(cuò)，收集資產(chǎn)的時(shí)候起了蠻大的作用,相同ip查到的站比zoomeye多，不過沒有會(huì)員只能查看前5頁…… fofa跟zoomeye各有長(zhǎng)處吧，可以都嘗試一下。 經(jīng)過上面的一波收集，手里掌握了大把的站，一個(gè)一個(gè)試也不太現(xiàn)實(shí)，然后有兩個(gè)方案，一個(gè)是批量查詢?cè)L問量，然后找到從訪問量較低的站開始下手，邊緣資產(chǎn)嘛，肯定訪問的少的沒什么人知道的才算得上邊緣資產(chǎn)~~，當(dāng)然這是我這種菜鳥做的事，大佬可以直接硬肛門戶。 還有一個(gè)方案呢就是批量跑后臺(tái)然后爆破弱口令，可以分開實(shí)現(xiàn)，把常見的后臺(tái)生成字典，然后腳本跑一波上面收集到的資產(chǎn)。 先把容易找到后臺(tái)的提取出來，然后分出有驗(yàn)證碼識(shí)別的和沒有驗(yàn)證碼識(shí)別的；沒有驗(yàn)證碼的比較好爆破，直接把常見的admin、admin123、123456、88888之類的跑一遍，如果這些基本的弱口令和默認(rèn)密碼沒有碰到就不用浪費(fèi)時(shí)間繼續(xù)爆破了，反正是批量搞，只要有幾個(gè)能進(jìn)去就可以接著深入。 有驗(yàn)證碼的可以手動(dòng)測(cè)試或者用工具識(shí)別爆破，麻煩一點(diǎn)，根據(jù)深度優(yōu)先的思想，如果無驗(yàn)證的后臺(tái)實(shí)在跑不出來再嘗試有驗(yàn)證碼的。 弱口令是個(gè)好東西，真的，這個(gè)是基于人性懶惰的弱點(diǎn)，而不是程序的漏洞，總會(huì)有管理員懶得改默認(rèn)密碼，或者簡(jiǎn)簡(jiǎn)單單設(shè)置個(gè)666666，除非強(qiáng)制逼著他修改，而且得必須設(shè)置有大小寫數(shù)字和符號(hào)的密碼，才有可能解決大部分的弱口令，根除還是很難的。 在這次演習(xí)中我就遇到了上面兩種情況，同樣是zf站，一種是完全不改默認(rèn)密碼，或者把a(bǔ)dmin改成了123456，還有一種就是整個(gè)政務(wù)政務(wù)OA系統(tǒng)都用了強(qiáng)制密碼檢測(cè)，強(qiáng)迫管理員修改成高強(qiáng)度密碼的。這個(gè)后面會(huì)提到，為此我還搞了一波釣魚…… 這節(jié)的標(biāo)題是“弱口令是個(gè)好東西”，沒錯(cuò)，按上面的一波操作后，我進(jìn)了不少后臺(tái)~ 比如下面這個(gè)： 看起來平平無奇，像是得罪了前端一樣，但實(shí)際上卻是某視頻會(huì)議系統(tǒng)的后臺(tái)，還是挺重要的，不過管理員可能以為我們找不到，所以就沒改密碼，然后我就進(jìn)來了，輕輕地，悄悄地。 進(jìn)去之后發(fā)現(xiàn)這其實(shí)是個(gè)很重要的系統(tǒng)，里面可以遠(yuǎn)程關(guān)閉重啟視頻服務(wù)器；會(huì)議日志存在大量會(huì)議信息包括會(huì)議參與人員等；泄露了管理員賬號(hào)和密碼哈希，可以服務(wù)器日志進(jìn)行下載；可對(duì)備份數(shù)據(jù)庫進(jìn)行脫褲等等…… 而且最重要的是還能接入視頻系統(tǒng)，查看每個(gè)視頻會(huì)議室，也就是說可以直播觀看領(lǐng)導(dǎo)們開會(huì)，還可以給老鐵們喊666，這可太危（刺）險(xiǎn)（激）了，趕緊寫報(bào)告先交了再說。 ps：當(dāng)我做夢(mèng)之前，文中提到的漏洞就已全部修復(fù)了，點(diǎn)個(gè)贊。 0x06 社會(huì)工程學(xué)可不簡(jiǎn)單 上一節(jié)提到了有兩種情況，一種是完全不改默認(rèn)密碼，或者把a(bǔ)dmin改成了123456，還有一種就是整個(gè)政務(wù)政務(wù)OA系統(tǒng)都用了強(qiáng)制密碼檢測(cè)，強(qiáng)迫管理員修改成高強(qiáng)度密碼的。 這節(jié)就來說說我遇到的第二種情況，在演練中，我發(fā)現(xiàn)了某部門存在網(wǎng)站站群，用了一套很新的政務(wù)OA系統(tǒng)，該部門的所有下屬部門的門戶網(wǎng)站都是這套系統(tǒng)，而且是該部門網(wǎng)站的子域名。 我簡(jiǎn)單測(cè)試了一下，發(fā)現(xiàn)安全性非常好，一體化建設(shè)程度很高，后臺(tái)不存在弱口令，整個(gè)政務(wù)OA系統(tǒng)也沒有發(fā)現(xiàn)sql注入xss等，所以硬肛不是辦法。 所以我決定走社工的路子。 在后臺(tái)登陸界面上，有一則信息： 上面寫了站群的應(yīng)用群，于是我就搜索了一下這個(gè)群，偽造身份混了進(jìn)去。 偽造身份是個(gè)值得注意的地方。 首先肯定不能用大號(hào)，大號(hào)涉及的信息太多，不便于偽裝，而且如果暴露容易被追蹤; 所以要使用一個(gè)小號(hào)，但這個(gè)小號(hào)不能太新，太新也容易暴露，所以平日要養(yǎng)幾個(gè)常用的小號(hào)，或者去某些途徑買。 之后要做偽裝，以qq號(hào)為例子，首先要確定加的是什么群，里面有什么人，我要以什么身份進(jìn)去。 比如我們要進(jìn)這個(gè)網(wǎng)站應(yīng)用群，進(jìn)群需要回答問題：寫明地區(qū)單位和姓名 這個(gè)時(shí)候就要調(diào)查一番，這個(gè)網(wǎng)站對(duì)應(yīng)部門的一些基本設(shè)定，比如管轄區(qū)域、下屬有哪些地方部門、這些地方部門的主要人員的職位和名稱等等。 這個(gè)可以到對(duì)應(yīng)的官網(wǎng)去查。比如這個(gè)站群對(duì)應(yīng)的某某廳下屬有十幾個(gè)市級(jí)的某某局，然后我找了一個(gè)地級(jí)市的該局，通過官網(wǎng)資料和google搜索到了一些關(guān)于該局的信息。 然后我選擇一名大概三十多歲的女性職員作為我偽裝的目標(biāo)，我借用了她的名字和這個(gè)單位。接下來還有給這個(gè)人物對(duì)應(yīng)的qq做偽裝，偽裝的最好方法就是找到一個(gè)跟目標(biāo)年齡工作以及可能的性格相近的好友，模仿她的表現(xiàn)，來偽裝，這樣就會(huì)足夠真實(shí)。 某些設(shè)殺豬盤的詐騙團(tuán)伙就是使用這種方法偽裝身份，借一個(gè)真實(shí)的身份過來，已達(dá)到真實(shí)可信的欺騙，而且這些團(tuán)伙會(huì)廣泛交友，平日里不會(huì)給你發(fā)任何消息，只是悄悄潛伏，偷取你的動(dòng)態(tài)信息。實(shí)在可惡，各位平日也要小心謹(jǐn)慎呀。 接著回來，我找了qq列表中的一位同樣三十多歲的女性高校職員作為我的模仿對(duì)象，我把頭像、簽名和一些動(dòng)態(tài)借鑒了過來，然后把qq資料按照目標(biāo)人物的大概信息進(jìn)行偽裝。 這樣我混進(jìn)了這個(gè)qq應(yīng)用群。 進(jìn)來之后，我迅速查看了下成員列表，看看我偽裝的人物是否在群中，如果真李逵和假李鬼相遇可就尷尬了…… 看了一番并沒有，然后我開始查看群文件。 一看發(fā)現(xiàn)資料還真不少，有幾十個(gè)大大小小的各類文件，包括政務(wù)OA系統(tǒng)的使用手冊(cè)，培訓(xùn)人員名單、網(wǎng)站防護(hù)情況等等。 而且根據(jù)資料來看這個(gè)系統(tǒng)大概是16年開始應(yīng)用，17年永久下線網(wǎng)站整合遷移把原來各地方網(wǎng)站關(guān)停之后重新整合放到了一個(gè)主站上，18年進(jìn)行了重新升級(jí)。 從管理和檢查的角度來看遷移整合之后確實(shí)方便了不少，但也帶來了一個(gè)問題就是，如果一個(gè)站點(diǎn)被攻破了，那么可能整個(gè)站群就都被拿下了。 當(dāng)然我是沒這個(gè)技術(shù)qaq。 又細(xì)細(xì)看了一下其中的資料發(fā)現(xiàn)我的確拿不下來這個(gè)站。 但是我拿到了幾百個(gè)相關(guān)人員的名單信息，可以根據(jù)這個(gè)來一波釣魚計(jì)劃。 然后又問了一下裁判組，裁判組說可以釣魚不過需要報(bào)備，我們簡(jiǎn)單報(bào)備了一下，就開始了接下來的行動(dòng)。 魚兒魚兒快上鉤 首先打算的是郵箱釣魚，因?yàn)樵谝粋€(gè)群里，有所有人的qq和郵箱，所以先考慮郵箱釣魚。 當(dāng)時(shí)找了一些國外的偽造郵箱服務(wù)，不過效果不好，基本發(fā)送不到，后來決定用swaks來偽造郵件。 swaks的用法都有師傅發(fā)過在freebuf上，比如： 不過我只學(xué)了個(gè)皮毛，sina的能過，qq的進(jìn)了垃圾箱qaq。 （給自己的賬號(hào)發(fā)了一下，進(jìn)了垃圾箱，郵件內(nèi)容是內(nèi)心感受） 工具不行我決定使用我的小號(hào)（就是滲透進(jìn)qq群的那個(gè)小號(hào)），先修改群備注和qq昵稱，設(shè)置為有迷惑性的名稱比如：信息管理處-小李，因?yàn)椴荒苄薷娘@示發(fā)件人所以盡量偽裝的要像一個(gè)管理人員。 之后構(gòu)建釣魚網(wǎng)站，把后臺(tái)頁面下載下來，然后修改一下源碼，去掉了驗(yàn)證碼，并且把賬號(hào)密碼post到我們的服務(wù)器上。 但是沒有域名，只有ip地址，所以在郵件內(nèi)容上，我們以測(cè)試頁面來作為掩蓋的借口，但也沒過多解釋，如果有條件弄個(gè)更真實(shí)一點(diǎn)的臨時(shí)域名還是好一點(diǎn)。 釣魚頁面弄得差不多了，接下來就是測(cè)試發(fā)送效果，給大號(hào)發(fā)了個(gè)郵件，發(fā)現(xiàn)沒收到，仔細(xì)一看原來又進(jìn)了垃圾箱。 思考了一下，感覺可能是附帶了超鏈接，被反釣魚機(jī)制檢測(cè)到了，還有可能是郵件中提到了機(jī)關(guān)單位的字眼觸發(fā)了反釣魚機(jī)制。 之后又試了別的姿勢(shì)，發(fā)現(xiàn)還是不能正常投遞，讓人很頭痛。 到這，我深思了一下，打開了紅警·共和國之輝。 打開了之前在群里獲取的培訓(xùn)名單，上面有相關(guān)人員的姓名，性別，職位和手機(jī)號(hào)。 沒錯(cuò)，我準(zhǔn)備從手機(jī)號(hào)入手。 大家平時(shí)肯定有收到垃圾短信的時(shí)候，什么時(shí)時(shí)彩、＋v看片之類的： 搞這種灰產(chǎn)的一般業(yè)務(wù)門檻比較低，不會(huì)要求太多，一般給錢就能發(fā)，于是我就找了個(gè)類似的短信分發(fā)商，當(dāng)時(shí)我打的名頭是：?jiǎn)挝煌ㄖ? 加了對(duì)方的微信，簡(jiǎn)單聊了一下，下面是夢(mèng)里的一段對(duì)話，有的地方夢(mèng)醒就記不清的，見諒~ 小姐姐：您好，請(qǐng)問您需要什么樣的服務(wù)？ 靚仔：就是那種，你知道的，是那種，很少見那種。 小姐姐：不用不好意思的，先生，我們是受過專業(yè)訓(xùn)練的。 靚仔：就是那種，那種給單位發(fā)通知的那種短信，有嗎？ 小姐姐：（噗呲） 小姐姐：對(duì)不起先生，您剛剛說什么，我沒聽清（笑）。 靚仔：我發(fā)的文字又不是語音，怎么會(huì)沒聽清？ 小姐姐：先生，您真的不用不好意思，我們真的是專業(yè)的 ，什么都可以的。 靚仔：就是那種，你知道的，單位通知，知道嗎，不是專不專業(yè)的問題，我知道它是那種，很少見那種，但我的確要發(fā)通知。 小姐姐：那好吧，請(qǐng)問您需要發(fā)什么通知呢？ 靚仔：是這樣的，我們單位要給下面的客戶發(fā)個(gè)通知消息，因?yàn)橹挥惺謾C(jī)號(hào)，發(fā)短信我一個(gè)人也弄不過來，就準(zhǔn)備讓你們幫我發(fā)一下。 小姐姐：好的先生這個(gè)沒問題，請(qǐng)問您是什么單位呢？ 靚仔：我是xx省信息中心的。 小姐姐：機(jī)關(guān)單位？ 靚仔：可以這么說吧。 小姐姐：告辭。 靚仔：別啊，我真是找你們談業(yè)務(wù)的。 小姐姐：那你有什么證明嗎？ 靚仔：那你需要什么證明？ 過了良久，我猜她應(yīng)該去找上級(jí)咨詢?nèi)チ恕? 小姐姐：那你們的營(yíng)業(yè)執(zhí)照有嗎，給我看看。 靚仔： 靚仔：你知道事業(yè)單位是沒有營(yíng)業(yè)執(zhí)照的嗎？ 小姐姐：事業(yè)單位也有營(yíng)業(yè)執(zhí)照的，你要是沒有就證明不了。 靚仔：朋友，事業(yè)單位不是盈利性單位，沒有營(yíng)業(yè)執(zhí)照，只有法人證明。 又是良久，又去百度了一波———— 小姐姐：那你把法人證明給我看下。 靚仔：我就是個(gè)技術(shù)人員，上哪給你弄法人證明去？領(lǐng)導(dǎo)讓我發(fā)個(gè)通知，我還要找領(lǐng)導(dǎo)要法人證明？我還混不混了。 小姐姐：emmmmmm 靚仔：這樣吧，我給你看下我們的備案證明，上面是有公安部認(rèn)證的。 然后我掏出了在群里找到的信息系統(tǒng)等級(jí)保護(hù)備案證明。 小姐姐：emmmmmm。 靚仔：如果這樣都證明不了的話，那我也沒辦法了，告辭，我換一家。 小姐姐：那好吧，請(qǐng)問你需要發(fā)什么內(nèi)容？ 靚仔微微一笑，發(fā)了過去。 靚仔：大概是這個(gè)內(nèi)容，我先發(fā)五十條，看下效果，如果效果好，以后就指定你們家發(fā)通知了。 小姐姐：好的呢，先生。 靚仔：對(duì)了，能開發(fā)票吧，我這邊報(bào)銷的話可是需要正規(guī)發(fā)票的。 小姐姐：可以的，我們有正規(guī)發(fā)票的，您想開多少都行。 對(duì)話到此就結(jié)束了，哪有報(bào)銷呀，其實(shí)就是想讓他們更確信我不是壞人。 畢竟搞他們這個(gè)雖然說弄得垃圾短信滿天飛，但也怕官方認(rèn)真起來查下去把他們端了，所以還是非常謹(jǐn)慎的。 然后就免費(fèi)發(fā)了50條釣魚短信，我把我的手機(jī)號(hào)也發(fā)給了他們，確實(shí)收到了短信，效果看起來還可以，把【xx信息中心】設(shè)置到了短信開頭，顯得更正式。 為啥只發(fā)50條呢，一是怕打草驚蛇，二是五十條是免費(fèi)的qaq。 然后就是漫長(zhǎng)的等待。 在等待之余，我想打一把酣暢淋漓的ctf，雖然我是開小賣部的。 深一點(diǎn)再深一點(diǎn) 但因?yàn)闆]有電競(jìng)椅，我決定還是再擼個(gè)站。 在之前，挖掘邊緣資產(chǎn)的時(shí)候，我們發(fā)現(xiàn)了很多邊緣性的站，它們大多沒有域名，它們端口總不是80，它們少有防護(hù)，它們的管理員可能也不太行。 所以是入手的最佳選擇。 萬千之中，我只選擇了你，不是因?yàn)槟憔G的讓人原諒，知識(shí)我熱愛環(huán)保。 號(hào)稱中國首家自主知識(shí)產(chǎn)群的群件平臺(tái)，讓我感覺不可小覷， 結(jié)果輸入admin/admin隨便一試，果然不是弱口令。 不過它多多少少還是給了我點(diǎn)提示，管理員的確有admin 可能這是個(gè)ai平臺(tái)，根據(jù)入侵者的水平來給予不同的提示。 （呸，你以為是打hack game） 然而我是不會(huì)放棄的，祭出我的掃描器，爆了一波路徑， 嘿嘿（窩窩頭配音） 找到了phpmyadmin 版本還是2.6.3 這就可以試一下通用密碼漏洞 ‘localhost’@’@’’ 果然進(jìn)去了 不過沒有權(quán)限，什么都做不了 然后又試了一下root 空密碼，成功 接下來寫馬， 路徑是通過路徑泄露找到了phpinfo得知真實(shí)物理路徑。 然后蟻劍連接： 成功getshell，到這忽然想到網(wǎng)站后臺(tái)還沒進(jìn)去，就回到phpmyadmin檢索了一下各個(gè)庫，發(fā)現(xiàn)了管理員和后臺(tái)辦公員工的賬號(hào)密碼，不過密碼是加密碼的，還不是普通md5加密，而是自己定義的一種加密。 既然是自己定義的加密，其加密算法就一定在某個(gè)文件里寫著，然后我們看了一下文件目錄，在password.php中獲得賬號(hào)密碼的位置及其加密函數(shù)，然后在include/func.php在線zend解密文件，找到b_decode函數(shù)，最后解密得到密碼。 然后成功進(jìn)入后臺(tái)： 其實(shí)都拿到權(quán)限了，進(jìn)不進(jìn)后臺(tái)無所謂了，進(jìn)來只是好奇~ 然后返回蟻劍 接著打開虛擬終端查看權(quán)限： 發(fā)現(xiàn)是daemon權(quán)限，需要提到root 看了下內(nèi)核版本，試了一下溢出提權(quán)，不成功 suid提權(quán)不成功，想了一想決定用dirtycow臟牛 然后操作了一番，新建用戶，提取成功。 提權(quán)之后準(zhǔn)備橫向探測(cè)一下…… 發(fā)現(xiàn)字?jǐn)?shù)已經(jīng)5k了，太臃腫了，就寫到這吧。 寫這篇文章就是想給大家簡(jiǎn)單介紹下這個(gè)模式以及分享些許經(jīng)驗(yàn)，我也只是個(gè)剛上幼兒園的小萌新，而且文中都是夢(mèng)里所見所為，沒有雷同~ 夢(mèng)做的差不多了，該起床上幼兒園了。 就醬。 在夢(mèng)里， 我曾見過81192翱翔于天際 在夢(mèng)里， 我曾見過異國網(wǎng)絡(luò)也飄揚(yáng)著五星紅旗 后來我醒了， 81192消失在夢(mèng)里， 但卻有553航于碧藍(lán)大海 后來我雖未見白宮掛著紅色的旗， 但我始終知道有人在看不見的地方一次又一次回?fù)? 終于我們也看到了花團(tuán)錦簇，我們也知道了燈彩佳話 那一夜，我也曾夢(mèng)見百萬雄兵 ps：據(jù)前幾日午間新聞報(bào)道，中國香港著名本地論壇lihkg遭到大規(guī)模網(wǎng)絡(luò)攻擊。 據(jù)小道新聞稱，在lihkg服務(wù)器某目錄下發(fā)現(xiàn)一新創(chuàng)建的文本文件，內(nèi)容為gdqs。 *本文作者：pannet，轉(zhuǎn)載請(qǐng)注明來自freebuf.com

國務(wù)院最新發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，9月1日起施行:

省級(jí)人民政府有關(guān)部門依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。 第十五條　專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)： （一）建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃； （二）組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)， 第三十五條　國家采取措施，鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作；將運(yùn)營(yíng)者安全管理人員、安全技術(shù)人員培訓(xùn)納入國家繼續(xù)教育體系。 （四）未設(shè)置專門安全管理機(jī)構(gòu)的； （五）未對(duì)專門安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查的； （六）開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策沒有專門安全管理機(jī)構(gòu)人員參與的； （七）專門安全管理機(jī)構(gòu)未履行本條例第十五條規(guī)定的職責(zé)的 第四十四條　網(wǎng)信部門、公安機(jī)關(guān)、保護(hù)工作部門和其他有關(guān)部門及其工作人員未履行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理職責(zé)或者玩忽職守、濫用職權(quán)、徇私舞弊的，依法對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員給予處分。

《“互聯(lián)網(wǎng)+”微信政務(wù)民生白皮書》發(fā)布，政務(wù)微信總量超4萬:

4月22日，騰訊研究院聯(lián)合微信團(tuán)隊(duì)發(fā)布《“互聯(lián)網(wǎng)+”微信政務(wù)民生白皮書》，這是官方首次披露政務(wù)微信的發(fā)展全貌。報(bào)告顯示，2014年，政務(wù)微信實(shí)現(xiàn)了全面發(fā)展，全國總量突破4萬個(gè)。 公安微信、醫(yī)院微信、交通微信、公積金微信等越來越多的政務(wù)微信順勢(shì)而生，用微信“了解國家最新動(dòng)向”、“查詢天氣公交”、“看病預(yù)約掛號(hào)”、“處理交通事故理賠”、“交納水費(fèi)、電費(fèi)、燃?xì)赓M(fèi)”等已成為常態(tài)融入人們的日常生活 如果說2012年人們對(duì)政務(wù)微信的認(rèn)知還停留在信息發(fā)布的“第三種途徑”，那么現(xiàn)在和將來的政務(wù)微信已經(jīng)成為政府與民生、人與公共服務(wù)之間的“連接器”，越來越多有價(jià)值的、個(gè)性化的服務(wù)功能在政務(wù)微信平臺(tái)上“生根開花 政務(wù)微信已然成為政府施政的新平臺(tái)。 下載鏈接：《“互聯(lián)網(wǎng)+”微信政務(wù)民生白皮書》 ??????

騰訊云攜手高燈科技聯(lián)合打造智能票財(cái)稅解決方案:

騰訊云ai計(jì)算機(jī)產(chǎn)品中心總經(jīng)理王磊與高燈科技高級(jí)副總裁楊光進(jìn)行簽約 騰訊云戰(zhàn)略合作總經(jīng)理兼華北渠道總經(jīng)理慶雪輝和高燈科技聯(lián)合創(chuàng)始人兼總裁張民遐共同見證 騰訊云攜手高燈科技，打造智能票財(cái)稅新生態(tài) 數(shù)字經(jīng)濟(jì)是社會(huì)大勢(shì)所趨 票財(cái)稅作為企業(yè)經(jīng)營(yíng)生產(chǎn)基本要素，正面臨著數(shù)字化升級(jí)的重要轉(zhuǎn)型機(jī)遇。 政策驅(qū)動(dòng)變革，助力企業(yè)實(shí)現(xiàn)票財(cái)稅一體化 近日來，增值稅專用發(fā)票電子化試點(diǎn)工作受票范圍不斷擴(kuò)大，稅總發(fā)48號(hào)文件《關(guān)于推進(jìn)納稅繳費(fèi)便利化改革優(yōu)化稅收營(yíng)商環(huán)境若干措施的通知》指出在實(shí)現(xiàn)增值稅普通發(fā)票電子化的基礎(chǔ)上 同時(shí)指出財(cái)政、檔案等部門積極推進(jìn)會(huì)計(jì)憑證電子化入賬、報(bào)銷、歸檔工作，推動(dòng)電子發(fā)票與財(cái)政支付、單位財(cái)務(wù)核算等系統(tǒng)銜接，引導(dǎo)市場(chǎng)主體和社會(huì)中介服務(wù)機(jī)構(gòu)提升財(cái)務(wù)管理和會(huì)計(jì)檔案管理電子化水平。 對(duì)于政府而言，騰訊云電子會(huì)計(jì)檔案助力政府實(shí)現(xiàn)發(fā)票電子化、電子會(huì)計(jì)檔案管理的規(guī)劃，用科技加速企業(yè)數(shù)字化轉(zhuǎn)型。

web名詞解釋:

css hack：通過在 css 樣式中加入一些特殊的符號(hào)，區(qū)別不同瀏覽器制作不同的 css 樣式的設(shè)置，解決瀏覽器顯示網(wǎng)頁特效不兼容性問題。 api:（application programming interface,應(yīng)用程序編程接口）是一些預(yù)先定義的函數(shù)，目的是提供應(yīng)用程序與開發(fā)人員基于某軟件或硬件得以訪問一組例程的能力，而無需訪問源碼， 也無需理解內(nèi)部工作機(jī)制的細(xì)節(jié)。 jsonp:(json with padding)是 json 的一種“使用模式”，可用于解決主流瀏覽器的跨域數(shù)據(jù)訪問的問題。

轉(zhuǎn)載請(qǐng)注明出處,本站網(wǎng)址：http://www.wikihumidifier.com/news_1967.html