yida223的博客

0x01 whois查询站长之家站长工具0x02 cms指纹识别各种工具whatwebbugscan0x03 目录扫描御剑wwwscanpker多线程后台扫描器0x04 子域名扫描子域名挖掘机在线子域名查询爱站网0x05 搜索引擎谷歌语法site:xxx.com inurl:upload.aspx|admin.aspx钟馗之眼0x06 端口扫描nm...

XML注入引用：https://www.freebuf.com/vuls/175451.html 作者：Hu3sky0X01 xxe漏洞介绍XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻...

推荐米斯特的wfuzz手册三部曲相关命令-c：用颜色输出-v：详细的信息-o 打印机：由stderr输出格式-p addr：使用代理（ip：port或ip：port-ip：port-ip：port）-x type：使用SOCK代理（SOCKS4，SOCKS5）-t N：指定线程数（默认20个）-s N：指定请求之间的时间延迟（默认为0）-e ：可用...

sql注入笔记

0x01 分类1.前端代码2.逻辑绕过3.文件内容检测4.文件包含、文件备份5.容器及语言特性6.畸形报文7.8.SQLI方面有的时候由于各种名单的原因，可能我们只能上传任何php文件，而且还没有其他地方来解析成php，咋办？如果你能上传.htaccess文件的话，那么就很好办了。0x02 .htaccess攻击建一个.htaccess 文件，里面的内容如下：<Fil...

1．转义字符xss转16进制\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x70\x6F\x72\x75\x69\x6E\x27\x29\x3C\x2F\x73\x63\x72\x69\x70\x74\x3Exss转8进制\74\163\143\162\151\160\164\76\141\154\145\1...

判断是否存在注入，注入是字符型还是数字型1.字符型输入1，查询成功输入1’and ‘1’ ='2，查询失败，返回结果为空：输入1’or '1234 '='1234，查询成功 ///1234用其他代替也可以‘返回错误，’ and 1=1 and ‘1’=‘1 页面正常返回结果，’ and 1=2 and ‘1’='1 页面返回错误，说明存在字符型注入2.数字型url中 '返回...