JBlock的博客

在kali 2.0后直接运行msfconsolemsf> db_statuspostgres selected, no connection百度到的解决方法多是针对BT和kali 1.0的，在kali 2.0中并不可行。正确的方法如下，回到shell中执行：# service postgresql enable# service postgressql start# msfdb ini...

文章目录简介Wfuzz基本功爆破文件、目录遍历枚举参数值POST请求测试Cookie测试HTTP Headers测试测试HTTP请求方法（Method）使用代理认证递归测试并发和间隔保存测试结果Wfuzz高阶功法IteratorszipchainproductEncoders**使用多个Encoder：**Scripts使用Scripts自定义插件技巧网络异常超时结合BurpSuite过滤器字典...

题记Fuzz是安全测试的一种方法，也是极为重要的一种手段！当你面对waf无所适从的时候，这时候你就可以Fuzz模糊测试来绕过waf，甚至你可以发现一些意想不到的姿势！最近两天我会对fuzz测试进行介绍!主要内容是Fuzz脚本编写和Fuzz思路！如果你想，这里会有无数种姿势让你bypass！文章目录题记正文环境准备FUZZ思路后记正文环境准备测试靶场：sql-libs安全软件：某狗最新版...

前言今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列！今天开启php代码审计系列！今天内容主要是CTF中命令注入及绕过的一些技巧！以及构成RCE的一些情景！文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think正文在详细介绍命令注入之前，有一点需要注意：命令注入与远程代码执行不同。他们的区...

前言如果你想做一些WEB漏洞挖掘的研究，那么PHPSTORM+Xdebug是一种必不可少的手段！今天踩了一下午的坑，所以想记录下来以供以后参考！tips:忙了一下午真够泪滴！文章目录前言准备环境安装步骤安装Xdebug配置php.ini验证xdebug安装是否成功配置phpstorm配置phpstorm内的php版本添加服务器Debug配置DBGp Proxy配置调试配置火狐配置chrome插...

前言忆往昔，峥嵘岁月稠！大学已经到了大三了，打了很多比赛，回顾还是挺欣慰！此系列来由是想留一点东西，把所学知识整理一下，同时也是受github上Micro8分享的启发，故想做一些工作，以留后人参考，历时两个星期，第一系列SQL注入回顾篇出炉！内容分四节发布，其中SQL注入代码审计为两节，WAF绕过总结为1节，SQLMAP使用总结为1节！此为SQLMAP使用总结部分。欢迎各位斧正，交流！文章目录...

前言忆往昔，峥嵘岁月稠！大学已经到了大三了，打了很多比赛，回顾还是挺欣慰！此系列来由是想留一点东西，把所学知识整理一下，同时也是受github上Micro8分享的启发，故想做一些工作，以留后人参考，历时两个星期，第一系列SQL注入回顾篇出炉！内容分四节发布，其中SQL注入代码审计为两节，WAF绕过总结为1节，SQLMAP使用总结为1节！此为SQL注入代码审计第二部分。欢迎各位斧正，交流！文章目...

前言忆往昔，峥嵘岁月稠！大学已经到了大三了，打了很多比赛，回顾还是挺欣慰！此系列来由是想留一点东西，把所学知识整理一下，同时也是受github上Micro8分享的启发，故想做一些工作，以留后人参考，历时两个星期，第一系列SQL注入回顾篇出炉！内容分四节发布，其中SQL注入代码审计为两节，WAF绕过总结为1节，SQLMAP使用总结为1节！此为SQL注入代码审计第一部分。欢迎各位斧正，交流！文章目...

前言在此之前我已经分享了关于FUZZ的两篇文章，一篇是关于FUZZ过某狗进行SQL注入，一篇是关于一款经典工具WFUZZ的使用！今天我就FUZZ测试流程进行简单分析！欢迎各位斧正！文章目录前言正文FUZZ敏感目录御剑DirsearchDirbWFUZZ参数FUZZPayload FUZZ**栗子****关于字典****结语**正文核心思想目录Fuzz( base )参数FuzzPa...