08 2023 档案

摘要:Vulhub - Docker-Compose file for vulnerability environment 1、介绍 名称:Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628) 编号:CVE-2018-2628 原理: 应用:Webl 阅读全文
posted @ 2023-08-09 16:42 挖洞404 阅读(22) 评论(0) 推荐(0) 编辑
摘要:weblogic CVE 2017-10271_白帽Chen_D的博客-CSDN博客 1、介绍 名称:weblogic XMLDecoder反序列化漏洞(CVE-2017-10271) 编号:CVE-2017-10271 原理:Weblogic的WLS Security组件对外提供webservic 阅读全文
posted @ 2023-08-09 15:08 挖洞404 阅读(287) 评论(0) 推荐(0) 编辑
摘要:1、判断是否为int字符串 2、判断是否为url 3、判断是否为报文 4、判断是否为ip地址 5、url解析 6、请求报文解析 7、响应报文解析 阅读全文
posted @ 2023-08-08 16:33 挖洞404 阅读(6) 评论(0) 推荐(0) 编辑
摘要:1、格式化 格式化,数据和模板分离,代码的可读性强,同时方便修改模板或数据,还方便代码的选择复制。 在项目开发中,如果是极少数或没有模板字符串的场景,可以考虑使用+操作符。而其它多用格式化语法。 虽然格式化提供了%s,%d等语法,可以将不同数据类型转为str类型。但使用较多的就是str类型和int类 阅读全文
posted @ 2023-08-08 15:49 挖洞404 阅读(9) 评论(0) 推荐(0) 编辑
摘要:from xml.etree import ElementTree def read(): xml = ElementTree.parse('param.xml') items = xml.getroot() for i in range(len(items)): item = items[i] p 阅读全文
posted @ 2023-08-07 17:46 挖洞404 阅读(13) 评论(0) 推荐(0) 编辑
摘要:在项目开发中,往往会进行一些配置。 1、sql存储 好处: 基于数据库,无需自定义读写功能,语法统一。 方便迁移,且一般不会误删 坏处: 每次使用时,需要启动sql应用 开发或迭代过程中,对配置的更改,相对麻烦 无法直接查看,需要连接数据库 一般来说,只有web项目会考虑使用sql存储相关配置 2、 阅读全文
posted @ 2023-08-07 16:09 挖洞404 阅读(4) 评论(0) 推荐(0) 编辑
摘要:1、异常 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at l 阅读全文
posted @ 2023-08-05 08:55 挖洞404 阅读(12) 评论(0) 推荐(0) 编辑
摘要:1、iis 阅读全文
posted @ 2023-08-02 21:12 挖洞404 阅读(5) 评论(0) 推荐(0) 编辑
摘要:1、发现响应头部是 Server: Apache-Coyote/1.1 即tomcat的一种框架。 2、测试tomcat的几种漏洞 2.1 首先是put 文件上传 (1)基于OPTIONS查看支持的方法是否包含PUT (2)实际测试,PUT方法,报403。响应体部包含输出tomcat版本号信息 Ap 阅读全文
posted @ 2023-08-02 04:00 挖洞404 阅读(252) 评论(0) 推荐(0) 编辑
摘要:1、介绍 2、安装 2.1 下载 The Ultimate Web Debugging Tool - Download Fiddler Everywhere | Telerik 2.2 安装 下载的即为exe文件,双击执行进行安装 阅读全文
posted @ 2023-08-02 02:00 挖洞404 阅读(10) 评论(0) 推荐(0) 编辑
摘要:1、开启burp,设置持续导入日志 代理控制,即篡改拦截的请求或响应,决定放行或丢弃。短时间来说,该功能很难自行开发实现,而这又是一个很重要的功能,所以开burp在所难免 同时,burp直接实现代理监听功能。 基于此,可以查看日志和导出日志。导出日志又分为临时的,和实时的。 2、启动静态分析脚本,对 阅读全文
posted @ 2023-08-02 00:47 挖洞404 阅读(10) 评论(0) 推荐(0) 编辑
摘要:Python怎么打包和安装自定义的模块?_自己写的python模块没有被打包怎么办_夏悠的博客-CSDN博客 python 自定义模块的发布和安装 - 海中一神兽 - 博客园 (cnblogs.com) Python 项目如何打包发布成 exe 文件 - 简书 (jianshu.com) 1、pyt 阅读全文
posted @ 2023-08-01 23:46 挖洞404 阅读(123) 评论(0) 推荐(0) 编辑
摘要:1、cmd介绍 cmd,命令提示符,是windows下的命令交互程序。可以直接打开,也可以选择管理员身份打开。 2、bat介绍 .bat文件,为windows下的批处理机制。可以双击执行 具有一些简单语法,比如echo、循环等。 但更重要的是直接执行cmd命令,可以按序执行多个命令,一般是调用py/ 阅读全文
posted @ 2023-08-01 16:52 挖洞404 阅读(234) 评论(0) 推荐(0) 编辑
摘要:(191条消息) (CVE-2020-12648)TinyMCE 跨站脚本(XSS)漏洞_tinymce漏洞_「已注销」的博客-CSDN博客 1、介绍 2、测试 3、漏洞防护 阅读全文
posted @ 2023-08-01 16:01 挖洞404 阅读(756) 评论(0) 推荐(0) 编辑
摘要:UEditor编辑器两个版本任意文件上传漏洞分析 - FreeBuf网络安全行业门户 1、介绍 2、测试 3、漏洞防护 阅读全文
posted @ 2023-08-01 15:58 挖洞404 阅读(1066) 评论(0) 推荐(0) 编辑
摘要:挖洞经验|UEditor编辑器存储型XSS漏洞 - FreeBuf网络安全行业门户 1、介绍 2、测试 2.1 靶场搭建 2.2 测试 burp拦截,篡改设置payload %3Cp%3E1111111"><ImG sRc=1 OnErRoR=prompt(1)>%3Cbr%2F%3E%3C%2Fp 阅读全文
posted @ 2023-08-01 15:56 挖洞404 阅读(381) 评论(0) 推荐(0) 编辑
摘要:mysql的用户和权限管理 - 数据库小白(专注) - 博客园 (cnblogs.com) 阅读全文
posted @ 2023-08-01 15:50 挖洞404 阅读(8) 评论(0) 推荐(0) 编辑
摘要:(191条消息) 渗透测试之目录扫描_外咸瓜街的一条咸鱼的博客-CSDN博客 阅读全文
posted @ 2023-08-01 13:46 挖洞404 阅读(6) 评论(0) 推荐(0) 编辑
摘要:绕过403访问资源 - FreeBuf网络安全行业门户 阅读全文
posted @ 2023-08-01 13:45 挖洞404 阅读(19) 评论(0) 推荐(0) 编辑
摘要:80 http 443 https 3360 mysql 阅读全文
posted @ 2023-08-01 13:35 挖洞404 阅读(4) 评论(0) 推荐(0) 编辑
摘要:(191条消息) mybatis中${}既然可能会出现sql注入的情况,为什么还要用_mybatis必须用$的情况_weixin_43478591的博客-CSDN博客 阅读全文
posted @ 2023-08-01 08:40 挖洞404 阅读(3) 评论(0) 推荐(0) 编辑
摘要:1、直接测试 # 指定url sqlmap -u http://www.test.com/login?username=xxx # 请求报文 sqlmap -r “request.txt” # burp或WebScarab日志 sqlmap -l LOGFILE # 批量url sqlmap -m 阅读全文
posted @ 2023-08-01 05:02 挖洞404 阅读(21) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示