摘要:
漏洞环境 使用VMware 安装Windows7 SP1模拟受害机 利用 攻击工具准备 1.使用如下命令一键更新安装的metasploit框架 curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config 阅读全文
摘要:
漏洞复现 直接写 shell 写 shell 的话,需要写在 admin 或者 api 中,也就是需要登录,没有密码的话完成不了写 shell 操作。 该环境默认的口令为 admin/admin。 访问 http://ip:8161/admin/test/systemProperties.jsp 获 阅读全文
摘要:
漏洞及渗透练习平台 花式扫描器 信息搜集工具 WEB windows域渗透工具 漏洞利用及攻击框架 中间人攻击及钓鱼 密码破解 EXP编写框架及工具 隐写 各类CTF资源 各类编程资源 kxsw 福利 蜜罐 远控 阅读全文
摘要:
题目 首先发现源码泄露 查看源代码 即: 分析代码: 第一步,要使得"admin" $_GET[id]不成立 第二步,经过$_GET[id] = urldecode($_GET[id]);,使得$_GET[id] == "admin"成立。 故有 知识点1、.phps这个是之前所没有碰到过的 第一次 阅读全文
摘要:
php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当 CURLOPT_SAFE_UPLOAD 为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读 阅读全文
摘要:
前言: 今天发布的是下半部分 进入正题 过滤的绕过和一些奇异的有效载荷 大小写绕过 大小写绕过 大小写绕过 绕过标签黑名单 绕过标签黑名单 绕过标签黑名单 用代码评估绕过单词黑名单 用代码评估绕过单词黑名单 用代码评估绕过单词黑名单 不完整的HTML标签绕过 不完整的HTML标签绕过 不完整的HTM 阅读全文
摘要:
翻译学习准备自用,同时分享给大家, 来自于: 进入正题 跨站脚本攻击(XSS)是一种计算机安全漏洞,通常出现在Web应用程序中。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 目录 利用代码或P 阅读全文
摘要:
基于windows 10打造的kali工具集.iso,适合于习惯使用windows的安全从业者。if you like it,please touch star! 作为安全从业主,Kali都是必备工具箱,一款作为黑客常用工具的集合平台深受安全人员喜欢。但是Kali是从BT5转变而来,所以是基于Lin 阅读全文
摘要:
Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看fl 阅读全文
摘要:
最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬Mramydnei,喜欢XSS的大家可以一起来学习交流。 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一起学习,互相进步成长。 第一关,没有任何疑问,简单的不能再简单,没有任何过滤 输入点在url里面,参 阅读全文