摘要:
GreaseMonkey 介绍: 它让用户安装一些脚本使大部分HTML为主的网页于用户端直接改变得更方便易用。随着Greasemonkey脚本常驻于浏览器,每次随着目的网页打开而自动做修改,使得运行脚本的用户印象深刻地享受其固定便利性。 简单说就是可以常驻在浏览器中长期对某一网站执行自定义的脚本,让 阅读全文
摘要:
Less 29-31 需要安装tomcat,老黑没实验成功,原理是index.php?id=1&id=2,实际传入系统的是id=2,id=1可以满足过滤,id=2实际为注入的sql语句。可以将payload附上,供大家参考 Less29: id=1&id=-2' union select 1,2,( 阅读全文
摘要:
chrome + google 是多么让人舒爽的组合,但是chrome中有些选项你可能不了解,来我们调试一下,防止被人利用都不知道! s1:访问网页时发送“不跟踪”请求。当您在计算机或 Android 设备上浏览网页时,您可以向网站发出请求,要求该网站不收集或不跟踪您的浏览数据。默认情况下,该功能处 阅读全文
摘要:
老黑本想做下安全实验的,可是打开firefox和chrome看到2345网页,我感觉一阵恶心,不要误会,老黑是直男,素来以极客自居的老黑,很讨厌这种被硬安排在自己领地的东西,卧榻之侧 岂容他人酣睡! 说改就改,现在网上搜一下,在知乎上找到这片文章。 按照文章下载了Process Hacker dow 阅读全文
摘要:
Less 23: 题目: 分析:payload:http://192.168.162.135/sqli-libs/Less-23/?id=-1' union select 1, @@version, 3--+ 失败,应该是对--+进行了过滤,因此修改为 payload:http://192.168. 阅读全文
摘要:
日起: 20171129 8-12 到综合关(7),1题/10min12-13 休息13-18 到结束,1题/20min18-19 休息19-20 写writeup文章20-22 src测试22 睡觉 真我为准,因势利导,利用一切 历史 日期:20171123 计划:睡眠:6h,娱乐:4h,修炼:1 阅读全文
摘要:
Less 18: 题目: 分析:随便输入username和password,页面显示user agent的信息,提示我们通过修改http headers中的user-agent进行注入。 TRY: 工具:firefox, live http headers s1:打开live http header 阅读全文
摘要:
可以正常使用的live http headers的地址为:这里 演示: s1:未修改前信息 点击live http headers 的中间部分,然后再点击Replay弹出下面对话框, 在fiddler中查看监控的流量信息,如下 s2:开始修改,user-agent信息,修改如下: 在点击live h 阅读全文
摘要:
Less 16: 和Less 15一样 payload: 登陆: a : b") or 1=1# 注入:a : b") or (ascii(substr((select group_concat(id,0x7c,username,0x7c,password) from security.users 阅读全文
摘要:
因为下午停电了,老黑所以没玩sqli-lib游戏,晚安才来电,但是没什么心思学下去,但又不能不发博客,只好去逛了逛I春秋,不看不知道,一看吓一跳。来吧,学新姿势的游客们跟着黑导游一起逛逛。 姿势一:他山之玉图,这是老黑转载的,特地加上了原地址 姿势二:南柯一梦图,呵呵,里边是很多招聘安全研究人员的招 阅读全文