bonelee - 博客园

2021年5月15日

同ip下的所有站点查询——旁注查询 https://www.webscan.cc/

摘要：直接到https://www.webscan.cc/ 搜索即可例如： ngwb6bu.zxpf.com 可以看到：xss.zxpf.com 等然后ping下就知道站点同IP： ping ngwb6bu.zxpf.comPING ngwb6bu.zxpf.com (43.129.74.121): 阅读全文

posted @ 2021-05-15 23:10 bonelee 阅读(3026) 评论(0) 推荐(0)

2021年5月12日

mac 提升无法打开软件因为apple无法检查其是否包含恶意软件——sudo spctl --master-disable 即可

摘要：您好，第一种（不建议）在终端输入以下命令即可。sudo spctl --master-disable1按回车键，随后提醒你输入电脑密码，这个时候输入密码然后按回车键即可解决。特别说明，输入密码是不可见的，你只要输入完按回车键即可。这个命令的意思是，安装软件允许任何来源。不建议使用这个命令。第二种（建阅读全文

posted @ 2021-05-12 23:12 bonelee 阅读(5386) 评论(0) 推荐(0)

2021年5月10日

通过shodan icon hash找到源站IP的方法——本质上是因为shodan会去掉cdn 所以出来的结果一般为源站IP

摘要： Shodan的http.favicon.hash语法详解与使用技巧直接上代码，py2、py3区别下： import mmh3 import codecs import requests url = 'https://s.mozhe.cn/static/ico/favicon.ico' url = 阅读全文

posted @ 2021-05-10 23:50 bonelee 阅读(1409) 评论(0) 推荐(0)

2021年5月6日

通过超级ping判断一个站点是否有cdn 并且找到源站IP 当然自己使用vpn国外代理直接访问也可以

摘要： https://tools.ipip.net/cdn.php 选一个南非的节点看看IP https://www.ping.cn/ping/ 看一个站点的IP 如果只有一个 name就没有cdn！举例： www.xueersi.com 可以看到，很多IP，表示有cdn！然后直接通过主域名 xue 阅读全文

posted @ 2021-05-06 23:12 bonelee 阅读(14) 评论(0) 推荐(0)

Red Team 又玩新套路，竟然这样隐藏 C2——类似后渗透代理

摘要： Red Team 又玩新套路，竟然这样隐藏 C2 ThreatBook微步在线 2021-04-22 16:59:28 72719 5 背景平静的一天，吉良吉影，哦不，微步情报局样本组突然收到这样一个样本。连接域名是 #######cs.com 相关子域名。乍一看，域名都是白的，应该没什么问题阅读全文

posted @ 2021-05-06 15:34 bonelee 阅读(418) 评论(0) 推荐(0)

2021年5月5日

墨者学院 - SQL注入漏洞测试(参数加密)

摘要：墨者学院 - SQL注入漏洞测试(参数加密)list.php御剑扫描得到 http://219.153.49.228:48291/news/list.zip解压得到源码从decode方法可知：AES的数据块长度为128位，密钥为ydhaqPQnexoaDuW3，偏移量为201820192020202 阅读全文

posted @ 2021-05-05 21:45 bonelee 阅读(498) 评论(0) 推荐(0)

web扫描里还是御剑、wwwscan、WebPathBrute好用内置的字典强大啊

摘要：我想只要有接触Web安全的小伙伴们，应该没有一个不知道御剑通常网站后台扫描工具都是利用后台目录字典进行爆破扫描，字典越多，扫描到的结果也越多而常用的网站后台扫描工具wwwscan、御剑、dirbuster和cansina 正文这里简单优化了一下以前的工具，修正了一些问题。御剑新版 + 注册机阅读全文

posted @ 2021-05-05 21:44 bonelee 阅读(3196) 评论(0) 推荐(1)

超级加解密转换工具——todo，编解码 md5 sha解密可以到https://www.cmd5.com/ 注意有salt的话必须要salt才可以

摘要：超级加解密转换工具V2.1绿色免费版超级加解密转换工具可以说一款万能加密解密转换工具，支持75种方式多种转换，火星最强软件！MD5、16位MD5、MD4、拼音、大小写转换、简繁转换、GBK《-》Big5、GBK简体《-》Big5、GBK《-》SJIS、火星文转换、数字到大写金额、迅雷Thunder 阅读全文

posted @ 2021-05-05 19:25 bonelee 阅读(2114) 评论(3) 推荐(0)

WooYun-2016-199433 反序列化漏洞复现

摘要： Phpmyadmin Scripts/setup.php Deserialization Vulnerability (WooYun-2016-199433) 中文版本(Chinese version) Affected version: 2.x Setup Run the following co 阅读全文

posted @ 2021-05-05 18:32 bonelee 阅读(362) 评论(0) 推荐(0)

Mysql 身份认证绕过漏洞（CVE-2012-2122）

摘要： Mysql 身份认证绕过漏洞（CVE-2012-2122）当连接MariaDB/MySQL时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是memcmp()返回一个非零值，也会使MySQL认为两个密码是相同的。也就是说只要知道用户名，不断尝试就能够直接登入SQL数据库。受影响版阅读全文

posted @ 2021-05-05 17:50 bonelee 阅读(1254) 评论(0) 推荐(0)

将者，智、信、仁、勇、严也。

Hi，我是李智华，华为-安全AI算法专家，欢迎来到安全攻防对抗的有趣世界。

公告