摘要: 在渗透测试早期阶段,安全人员往往需要从互联网快速获取目标的一些信息,以确认测试目标的概况。为了满足这个需求,Kali Linux提供了theharvester工具。该工具可以搜索引擎、社交网站获取目标相关的信息,如邮件地址、子域名、主机、雇员姓名、开放端口等。由于要满足用户的快速收集信息的需求,该工 阅读全文
posted @ 2017-06-29 23:20 米怀特 阅读(661) 评论(0) 推荐(0) 编辑
摘要: 网站的页面提交参数做了md5转换,而且参数会带入两个SQL语句中执行。 注入是肯定存在的,但是SQLMAP怎么都跑不出来(可能原因是其中有个SQL语句总是报错)。 尝试手工,发现 order by 报错。; ) 没关系,那就直接上union select。 经过尝试发现 union select 1 阅读全文
posted @ 2017-06-29 19:58 米怀特 阅读(964) 评论(0) 推荐(0) 编辑
摘要: 0x00 关于序列化和反序列化 在了解反序列化漏洞之前需要先了解序列化和反序列化。 序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。 把字节序列恢复为对象的过程称为对象的反序列化。 0x01 关于概述反序列化漏洞 由于把字节序列恢复为对象,并且没有限制恢复对象 阅读全文
posted @ 2017-06-29 19:09 米怀特 阅读(371) 评论(0) 推荐(0) 编辑