01 2020 档案

XXE-XML外部实体注入(XML External Entity)
摘要:XXE XML外部实体注入(XML External Entity) ======= XML "XML菜鸟教程" DTD中支持单双引号,所以可以通过单双引号间隔使用作为区分嵌套实体和实体之间的关系;在实际使用中,我们通常需要再嵌套一个参数实体,%号是需要处理成 % 如下: %也可写为16进制% XX 阅读全文
posted @ 2020-01-19 17:03 mrhonest 阅读(720) 评论(0) 推荐(0) 编辑
命令注入(Command Injection)
该文被密码保护。
posted @ 2020-01-19 11:27 mrhonest 阅读(4) 评论(0) 推荐(0) 编辑
会话固定
摘要:会话固定(Session fixation)是一种诱骗受害者使用攻击者指定的会话标识(SessionID)的攻击手段。这是攻击者获取合法会话标识的最简单的方法。会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者 阅读全文
posted @ 2020-01-16 14:53 mrhonest 阅读(2051) 评论(0) 推荐(1) 编辑
Linux 提权-依赖 Exp 篇
摘要:exp注: CVE 2017 1000367 "Sudo" CVE 2017 1000112 [a memory corruption due to UFO to non UFO path switch] CVE 2017 7494 "Samba Remote execution" CVE 2017 阅读全文
posted @ 2020-01-07 14:41 mrhonest 阅读(715) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示