摘要： 深入了解SQL注入绕过waf和过滤机制 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 0x05 本文小结 0x06 参考资料 0x00 前言 笔者前几天在做测试时输入攻击向量后页 阅读全文

摘要： 1.SQLMAP用于Access数据库注入 (1)猜解是否能注入win: python sqlmap.py -u "http://www.stronkin.com/en/CompHonorBig.asp?id=7"Linux : ./sqlmap.py -u "http://www.stronkin 阅读全文

摘要： Burp Suite是Web应用程序测试的最佳工具之一，其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练，主要讨论它的以下特点.1.代理–Burp Suite带有一个代理,通过 阅读全文

摘要： 手工注入 说下我的基本思路：1、目标站点环境为：Windows+Apache+Mysql+PHP2、存在SQL注入，能否直接写一句话木马3、存在SQL注入，获取数据库中用户口令，登录应用系统后上传webshell4、获取数据库口令登录phpMyAdimin，用phpMyAdmin写入一句话木马不想因 阅读全文

摘要： 搜索型注入漏洞手工注入过程 首先，简单的判断搜索型注入漏洞存在不存在的办法是先搜索，如果出错，说明90%存在这个漏洞。 a%’ and 1=1– 正常a%’ and 1=2– 错误 有注入 由于网站过滤了 ‘ 等等的。所以工具不行，要手工了。累人啊~~~ 判断权限a%’ and (select is 阅读全文

摘要： 如何成长为黑客、白帽子、网络工程师、渗透工程师？ 国内这类型精英人才，大部分都是自学成才。他们成长的路上充满艰辛，还有更为漫长的学习过程。当然，幸运儿以外的大部分爱好者，被知识门槛、不知道如何学习、专业性问题无法解决...等等这些，被挡在了门槛以外。 家里堆放了很多黑客书，但还是无法真正的算入门？ 阅读全文

摘要： grep命令是global regular expression print的缩写，它能使用正则表达式搜索，用于在文件中搜索指定的字符串模式，列出含有匹配模式子符串的文件名，并输出含有该字符串的文本行。 grep 命令格式：grep[options] 常用参数 -c：只输出匹配的计数 -I：不区分大 阅读全文

摘要： ps命令用于监测进程的工作情况。进程是正在运行的程序，一直处于动态变化中，而ps命令所显示的进程工作状态时瞬间的。 使用方式：ps[options][-help] 常用参数： -A ：显示所有进程 -a：显示一个终端的所有进程。除了会话引线 -N：忽略选择 -d：显示所有进程。但省略所有的会好引线。 阅读全文

摘要： DNS服务器的安装和配置 首先在终端输入命令#vi /etc/apt/sources.list 输入更新源 # kali repos installed by TARDIS deb http://http.kali.org/kali kali main non-free contrib deb-sr 阅读全文

摘要： 用户账号管理命令 为了提高系统的利用率，避免因多个用户共用一个root账号而造成不必要要的系统安全隐患，通常需要为 新用户添加账户。在Linux系统中，添加用户只能由超级用户来完成，也就是说，只能由root用户使用useradd 或是adduser命令来完成该项工作。 1.添加用户 在使用usera 阅读全文