不愿透露姓名的汤姆猫

摘要： 语法：updatexml(目标xml内容，xml文档路径，更新的内容) updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)# 实际上这里是去更新了XML文档，但是我们在XML文档路径的位置里面写入了子查询，我们输入特殊字符，然后就因为不符合输入规 阅读全文

摘要： 一、POST注入介绍 注入攻击的本质，是把用户输入的数据当做代码执行。 这里有两个关键条件： 第一个是用户能够控制输入 第二个是原本程序要执行的代码，拼接了用户输入的数据 POST注入属于注入的一种，相信大家都知道POST\GET两种传参方式。 POST注入就是使用POST进行传参的注入，本质上和G 阅读全文

摘要： 1、使用order by 测试字段数，为2 2、union select 1,2#找显位点 3、找数据库名union select 1,database()# 为dvwa 4、找表名,union select 1,table_name from information_schema.tables w 阅读全文

摘要： 一、思路流程 1、信息收集 a、服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等） b、网站指纹识别（包括，cms，cdn，证书等），dns记录 c、whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等） e、子域名收集，旁站，C段等 f、google hacking针 阅读全文

摘要： 攻击溯源作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。 说人话：被黑了就要知道为什么被黑了怎么被黑的，不能这么不明不 阅读全文

摘要： 问题描述：VGAuthservice 启动失败，请确保您有足够的权限启动系统服务Installing VMware tools fails with error:VGAuthService & Common Agent failed 解决方案 ：安装VC运行库。 阅读全文

摘要： 一、漏洞描述 受影响WebLogic版本：10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0。 二、漏洞原理 Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出 阅读全文

摘要： 一、 常见 （一） IIS 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 （二） Apache 1、解析漏洞 2、目录遍历 （三） Nginx 1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 （四）Tomcat 1、远程代码执行 2、war后门文件部署 （五）jBos 阅读全文

摘要： DVWA-CSRF Low等级 image 抓包 image 正常跳转 image image 在这里我们把密码改为qwer image image image image image 成功进入了DVWA image CSRF Medium等级： 开始，抓包 image.png image.png 阅读全文

摘要： 将DVWA的级别设置为low 1.1查看源代码,首先获取输入的两个密码然后判断两个值是否相等,如果相等则对$pass_new变量进行调用mysql_real_escape_string函数来进行字符串的过滤（防御SQL注入），再调用md5()函数对输入的密码进行MD5加密，最后再将新密码更新到数据库 阅读全文