lcamry

摘要： SQL注入和XSS BYPASS WAF 测试向量 1. 识别脆弱点 http://www.site.com.tr/uyg.asp?id=123'+union+selec+1,2,3--http://www.site.com.tr/uyg.asp?id=123'http://www.site.com 阅读全文

摘要： LDAP注入与防御解析 [目录] 0x1 LDAP介绍 0x2 LDAP注入攻击及防御 0x3 参考资料 0x1 LDAP介绍 1 LDAP出现的背景 LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议，是一种在线目录访问协议。LDAP主要用于 阅读全文

摘要： 知己知彼，百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WA 阅读全文

摘要： python脚本作用：目录下有很多的文件，或者存在二级甚至三级目录，我们需要查文件当中的某一个关键字。 阅读全文

摘要： 故事概述：一“白帽子”渗透测试世纪佳缘网站，为提升在乌云平台的影响力，拿数据库当中的数据进行验证。世纪佳缘可能因为该“白帽子”触碰逆鳞，所以将其告上法庭。事件不断发酵过程中，猪猪侠表哥继续“顶风作案”，又发世纪佳缘相关漏洞，表明了圈内各位表哥表姐的不满情绪，同时应该代表着乌云对此事的态度。直至今天， 阅读全文

摘要： 今天遇到一个问题是：双系统为win10和Ubuntu。启动模式为mbr，当前可以启动win10，但不能启动Ubuntu。先利用easybcd重新添加了一个，想着依旧用win10的启动项，（此处可以参考http://jingyan.baidu.com/article/84b4f565df60ce60f 阅读全文

摘要： firefox43版本无法安装未验证附加组件，利用以下方法： 1、进入firefox about:config页面中 2、搜索xpinstall.signatures.required，将值改为false。 阅读全文

摘要： 手贱的将firefox升级后，很多的插件不能使用。我这里因为用到live http headers，所以以此为例子。主要表现为live http headers修改数据包后，尤其是post数据包后，replay数据不会显，说明post数据包在浏览器处理过程中就被忽略了。具体查看了下网上的，应该是43 阅读全文

摘要： Sql注入过程数据（后台数据不能回显到页面）不回显采用方法 1：构造逻辑判断 ▲left(database(),1)>’s’ //left()函数 ▲and ascii(substr((select table_name from information_schema.tables where ta 阅读全文

摘要： Sql注入根据数据提取通道的类型，从服务器接收到的响应等可以分为不同的类型. 基于从服务器接收到的响应 ▲基于错误的SQL注入 ▲联合查询的类型 ▲堆查询注射 ▲SQL盲注 •基于布尔SQL盲注 •基于时间的SQL盲注 •基于报错的SQL盲注 •基于布尔SQL盲注 •基于时间的SQL盲注 •基于报错 阅读全文