- 博客(10)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 ssrf中gopher协议的利用
SSRF漏洞如何产生SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是能够直接对目标网站的内部系统发起请求。(因为他是从内部系统访问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)gopher协议的利用gopher 协议Gopher是Internet...
2019-10-29 16:17:07
5735
1
原创 Metasploit渗透测试笔记(一)
小结渗透测试时一种通过模拟恶意攻击者的技术与方法,挫败目的标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。渗透测试具有两种基本类型:黑盒测试与白盒测试,结合两种的称为灰盒测试。目前业界流行的渗透测试方法学有OSSTMM、NIST SP800-42、OWASP TOP 10、WASC-TC、PTES等。渗透测试主要包括前期交互、情报搜集、威胁建模、...
2019-10-23 15:44:47
443
原创 漏洞上传原理与实践
漏洞上传原理与实践一、解析漏洞1.1、lls 5.x/6.0解析漏洞1.1.1、目录解析1.1.2、 文件解析1.2、Apache解析漏洞1.3、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞1.4、Nginx <8.03 空字节代码执行漏洞1.5、其他二、常见的上传检测方式三、上传本地验证绕过3.1、上传检测流程概述3.2、客户端JS检测绕过(JS检测)3.2....
2019-10-09 17:22:57
700
原创 XSS
XSS漏洞详解XSS漏洞基础讲解XSS漏洞挖掘与绕过XSS漏洞的综合利用XSS漏洞基础讲解Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。OWAS...
2019-10-09 17:22:14
1518
原创 sql-labs
此处考虑两个点,一个是闭合前面你的 ’ 另一个是处理后面的 ’ ,一般采用两种思路,闭合后面的引号或者注释掉,注释掉采用–+ 或者 #(%23)less-5$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";$result=mysql_query($sql);$row = mysql_fetch_array($result); if(...
2019-10-04 16:53:49
468
2
原创 CSRF(跨站请求伪造)原理与实践
CSRF原理与实践一、原理二、实践2.1 CSRF (get)与(post)2.2 CSRF结合XSS2.3 Token防止CSRF一、原理Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也称为"one click...
2019-08-05 22:11:29
534
原创 史上最完整漏洞上传原理与实践
最近看的一些关于漏洞上传的知识,详细的记录加上自己的一些想法,做渗透最重要的是实践,自认为是非常详细了,大家可以做个随便看看,有问题可以留言,谢谢
2019-08-01 10:58:40
894
原创 史上最全的一句话木马
史上最全一句话木马PHP普通一句话PHP系列过狗一句话PHP过狗几个变性的php--过防火墙phpv9 高版本拿shellASPasp 一句话ASP过安全狗一句话ASPX系列aspx一句话JSP过护卫神的插入一句话容易爆错一句话木马到两句话木马的转型!一句话免杀:一:变形法支持变异菜刀连接以过安全狗,过啊D 文件扫描的一句话ASPASPASPX大家伙 把你们手中好的发出来共享下吧 别藏着了PHP...
2019-07-30 21:34:08
15011
3
原创 一句话木马原理与实战
一句话木马原理与实战介绍常用一句话木马分析一句话木马一句话使用方法实战介绍一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终有强大的作用。常用一句话木马php一句话木马: <?php @eval($_POST[value]);?> aspx一句话木马: <%@ Page Language=“Jscript”%> <%eval(Re...
2019-07-30 20:30:44
3559
原创 最最重要的SQL手工注入基础语法知识
SQL注入必备基础知识初学SQL注入的小白,整理一下必备的一些基础知识,包括一些数据库查询语句和PHP函数。注释单行注释:/ - - /多行注释:/* … */查询语句(select)select 列名 from 表名select * from 表名如果把一个学校比作数据库,那么年级就是表名,班级就是列名。我们要先登录,获取Cookie,然后把Cookies添加到...
2019-07-27 16:26:33
364
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人