摘要:
一般情况下,黑客拿下一个服务器之后可能会提交漏洞平台,服务器管理员在修复过程中常常会将后台登陆密码等口令进行重新配置 黑客也因此在漏洞修复后极可能失去对网站的控制权,那么有什么方法可以来让黑客维持对网站后台的管理权限吗? 这里介绍一个好方法: 前提: 1、在网上注册一个XSS平台账户或自行搭建XSS 阅读全文
摘要:
某支付系统官网存在支付相关漏洞可任意修改付款金额 原理:右键审查元素找到控制支付金额的键值进行任意修改(金额大于0,等于0时会报错) 截图如下: 阅读全文
摘要:
网站上的图片相关功能可以被黑客利用秒取网站服务器控制权!比如传一张图直接就给服务器关机,或执行 “rm -fr /” 删除文件,再或窃取用户敏感数据等,而造成这些后果的只是一张特殊的图片… 这个时候不得不喊出口号「睡你麻痹,起来 High」,上次 Struts 2 漏洞席卷全球还有余温,这次核弹级漏 阅读全文
摘要:
作者:凋凌玫瑰来源:NCPH 内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安 全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常 阅读全文
摘要:
相关表:v9_admin 加密方式: md5(md5(password)+encrypt) 第一步:对输入的密码32位小写 MD5 对输入的密码进行trim过滤 第二步:取得随机字符,对应记录中 encrypt 值 和第一部结果链接 第三步:第二步结果密码32位小写 md5 例子: 密码:12345 阅读全文
摘要:
main(int argc,char *argv[ ]) argv为指针的指针 argc为整数 char **argv or: char *argv[] or: char argv[][] main()括号内是固定的写法。 下面给出一个例子来理解这两个参数的用法: 假设程序的名称为prog, 当只输 阅读全文
摘要:
首先说一下具体的情况 一大牛发了一个shell 挂个txt收徒、 乱码了就算了 省的那大牛找我麻烦 心理就想着日一下看看 结果真不如人心愿 御剑开骚 哇塞 列目录 这下高兴之 不上图了 发现大牛踪迹 我想着那位收徒的也是吧 (他自己说的 只是路过的) 好了废话不多说直接开始 搞吧 上传一句话菜刀链接 阅读全文
摘要:
webbench最多可以模拟3万个并发连接去测试网站的负载能力,个人感觉要比Apache自带的ab压力测试工具好用,安装使用也特别方便,并且非常小。 主要是 -t 参数用着比较爽,下面参考了张宴的文章: 1、适用系统:Linux 2、编译安装: [root@hexuweb102 ~]$wget ht 阅读全文
摘要:
ab是apache自带的一个很好用的压力测试工具,当安装完apache的时候,就可以在bin下面找到ab 1 我们可以模拟100个并发用户,对一个页面发送1000个请求 ./ab -n1000 -c100 http://vm1.jianfeng.com/a.html 其中-n代表请求数,-c代表并发 阅读全文
摘要:
netcat被誉为网络安全界的‘瑞士军刀’,相信没有什么人不认识它吧……一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个 阅读全文