Coisini的博客

摘要：千辛万苦拿到的 webshell 居然无法执行系统命令，怀疑服务端 disable_functions禁用了命令执行函数，通过环境变量 LD_PRELOAD 劫持系统函数，却又发现目标根本没安装 sendmail，无法执行命令的webshell 是无意义的，看我如何突破！|半月前逛“已黑网站列表”时复审一小电商网站，“列表”中并未告知漏洞详情，简单浏览了下功能，只有注册、登录、下单...

1.问题描述属性无序问题和xml声明不是单独一行1.问题描述属性无序问题和xml声明不是单独一行# cat HKEX-EPS_20180830_003249795.xml<?xml version="1.0" encoding="UTF-8"?><ETCML><IISHeadline><News Encoding="UTF-8" Language...

休息了个清明节，这段时间，收听的好些微信公众账号都越来越相近了啊，原因是：思维干扰……我继续我的风格，我自己私人的公众账号是“懒人在思考”，不过好久好久没发内容了，真是应对了个“懒”字。而在这个公众账号（网站安全中心）发的内容肯定都会定位在网站安全这块。前段时间一直在写工具党、大数据黑客相关的科普文，今天开始换点口味好了，来看看前端攻击里一些“惊悚”的攻击方式。今天只说高级钓鱼如果深刻知...

你可以在美丽的Unix世界中用shell执行你喜欢的任何命令，但是有时一个命令可以被用来执行另一个命令，这就是你不曾想过的命令执行技巧举例来说，下面是用tar命令简介执行任意命令的方式：但是再稍微研究一下，看上去有一大堆方法能用流行的unix命令做到这一点，规则很简单：不可以从shell中运行命令利用另一个命令的“副作用”最终达到命令被执行我用了一个小脚本，叫做runme.sh：...

利用限制仅针对windows系统进入正题首先看核心文件common.inc.php 大概148行左右if($_FILES){ require_once(DEDEINC.'/uploadsafe.inc.php');}uploadsafe.inc.phpif( preg_match('#^(cfg_|GLOBALS)#', $_key) ){ exit('Req...

续前几周写的一句话木马如何使用一张看起来十分正常的可爱猫咪或美女图片，可以把恶意代码隐藏在图片像素中。当你点击这张图片时，计算机便会中招。印度安全研究人员萨米尔·沙哈把他发现的这种隐藏恶意程序的方法称为“stegosploit”，只需看一眼被这种方法处理过的图片文件，你就会被黑掉。沙哈在上周四荷兰阿姆斯特丹的黑客会议（HITB）上讲解了这项黑客技术。“恶意程序是一门艺术。”...

QUOTE:职业化：你需要别人购买你所做出来的东西。你尝试者构建一个幻想。你尝试着让别人相信你。Be calm: look like you belong there.QUOTE:需要冷静：让你看起来是属于那个地方的人。Know your mark: Know your enemy. Know exactly how they will react before they do.QU...