wodafa的博客

本文属于i春秋原创文章现金奖励计划，未经允许严禁转载。介绍：在Access数据库类型注入的时候，我们获取不到列名(前提是有表名)，一般会选择使用偏移注入，但是这种注入方式往往借助的是个人的人品，且步骤繁琐。本文中我们研究了一种新的注入技术让“偏移注入不在需要人品”。在这里定义这种注入技术为：“移位溢注技术”。它适用于ACCESS和MYSQL（任何版本）正文：

渗透过程就是各种安全技术的再现过程，本次渗透从SQL注入点的发现到绕过sql注入通用代码的防注入，可以说是打开了一扇门，通过sql注入获取管理员密码，获取数据库，如果在条件允许的情况下是完全可以获取webshell。在本文中还对access数据库获取webshell等关键技术进行了总结。

毕业设计总算搞得差不多了，这个心累啊。这不，完成了学校的任务，赶紧回来给蛋总交作业。今天给大家分享一个姿势吧，不是什么新东西，但比较少见——用DNS log来获取回显。

好东西要懂得分享哦！，如果你身边有适合的朋友也可以推荐给我们，这里有诚意满满的讲师推荐现金奖励在等着你！奖金池10万！（此处强烈鼓掌）速来占坑呀~

近日，Cybellum公司发现了一个0-day漏洞，可完全控制大多数安全产品。此漏洞称为“DoubleAgent”（双面间谍），多家安全厂商受到DoubleAgent的影响，包括Avast，AVG，Avira，Bitdefender，趋势科技，Comodo科摩多，ESET，F-Secure，卡巴斯基，Malwarebytes，McAfee，Panda，Quick Heal和赛门铁克（Norton）。此次攻击涉及到微软的非托管代码的运行验证工具——Application Verifier（应用程序检验器）。

面对这种指哪儿打哪儿的神级漏洞，锦行科技CTO.Jannock、长亭科技.Monster、腾讯玄武实验室.TK、腾讯湛泸实验室.yuange等国内相关安全专家也给出了一些想法和解决方案。微软MSRC也发布了一则风险评估公告，报告中指出微软MSRC分析了由Shadow Brokers公开提供 的大量漏洞，大多数漏洞都已经被修补。剩余的漏洞，也被验证在Windows7、Windows近期版本、Exchange2010以及Exchange较新版本中没有得到复现，不过微软MSRC强烈建议仍在使用这些产品先前版本的用

文章来源i春秋渗透时是不是经常使用到扫描器？如AWVS，AppScan等然后IP被拉黑就是在所难免，挂VPN并没什么卵用，一个接一个的封，是不是很蛋疼……想到了个方法，就是扫描时使用tor代理，几分钟会自动换ip，前提是你需要一个国外或香港的代理，不然是连接不上TOR匿名网络的。下面说说使用方法（1）tor Install KALI    apt-get i

当然呢，为了大家能更好的切磋交流，安抚春乏秋困夏打盹交替之季给大家带来的小小朦胧倦意。i春秋联合安全狗SRC新出炉的充满时代正义感的话题披甲上阵了~来试试水哦！

黑客一直是大家所熟知但是又不了解的神秘人物，历史上有不少黑客对企业、社会造成了严重的影响，下面就给大家盘点一下历史上最眼中的十大黑客袭击事件!

试验地址：http://www.ichunqiu.com/racing/54399实验平台：i春秋Step 0实验环境操作机：Windows XP [172.16.11.2]目标网址：www.test.ichunqiu  [172.16.12.2]实验工具：中国菜刀实验目标：获取www.test.ichunqiu网站的FLAG信息，学习一些简单的提权方式

现在压缩壳都有很多自动脱壳机，但是加密壳呢？学习手工脱壳不是为了单纯去学怎么脱这一种壳，学习的是技巧，以后遇到其他的没有脱壳机的壳要尝试手工去脱，就像一个网站注入点，你可以用sqlmap去注入，如果有waf呢？Sqlmap脚本绕不过去呢？不还得靠手工去试，工具是死的，人是活的