2016年6月20日
摘要: 深入了解SQL注入绕过waf和过滤机制 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filter的实现及Evasion 0x04 延伸及测试向量示例 0x05 本文小结 0x06 参考资料 0x00 前言 笔者前几天在做测试时输入攻击向量后页 阅读全文
posted @ 2016-06-20 16:30 ZQ园林 阅读(4344) 评论(0) 推荐(0) 编辑
  2016年5月27日
摘要: 1.SQLMAP用于Access数据库注入 (1)猜解是否能注入win: python sqlmap.py -u "http://www.stronkin.com/en/CompHonorBig.asp?id=7"Linux : ./sqlmap.py -u "http://www.stronkin 阅读全文
posted @ 2016-05-27 16:15 ZQ园林 阅读(642) 评论(0) 推荐(0) 编辑
  2016年5月17日
摘要: Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理–Burp Suite带有一个代理,通过 阅读全文
posted @ 2016-05-17 17:47 ZQ园林 阅读(11509) 评论(0) 推荐(1) 编辑
  2016年5月9日
摘要: 手工注入 说下我的基本思路:1、目标站点环境为:Windows+Apache+Mysql+PHP2、存在SQL注入,能否直接写一句话木马3、存在SQL注入,获取数据库中用户口令,登录应用系统后上传webshell4、获取数据库口令登录phpMyAdimin,用phpMyAdmin写入一句话木马不想因 阅读全文
posted @ 2016-05-09 21:37 ZQ园林 阅读(2288) 评论(0) 推荐(0) 编辑
摘要: 搜索型注入漏洞手工注入过程 首先,简单的判断搜索型注入漏洞存在不存在的办法是先搜索,如果出错,说明90%存在这个漏洞。 a%’ and 1=1– 正常a%’ and 1=2– 错误 有注入 由于网站过滤了 ‘ 等等的。所以工具不行,要手工了。累人啊~~~ 判断权限a%’ and (select is 阅读全文
posted @ 2016-05-09 10:42 ZQ园林 阅读(2892) 评论(0) 推荐(0) 编辑
  2016年4月27日
摘要: 如何成长为黑客、白帽子、网络工程师、渗透工程师? 国内这类型精英人才,大部分都是自学成才。他们成长的路上充满艰辛,还有更为漫长的学习过程。当然,幸运儿以外的大部分爱好者,被知识门槛、不知道如何学习、专业性问题无法解决...等等这些,被挡在了门槛以外。 家里堆放了很多黑客书,但还是无法真正的算入门? 阅读全文
posted @ 2016-04-27 15:11 ZQ园林 阅读(567) 评论(0) 推荐(0) 编辑
  2016年4月19日
摘要: grep命令是global regular expression print的缩写,它能使用正则表达式搜索,用于在文件中搜索指定的字符串模式,列出含有匹配模式子符串的文件名,并输出含有该字符串的文本行。 grep 命令格式:grep[options] 常用参数 -c:只输出匹配的计数 -I:不区分大 阅读全文
posted @ 2016-04-19 20:42 ZQ园林 阅读(2526) 评论(0) 推荐(0) 编辑
摘要: ps命令用于监测进程的工作情况。进程是正在运行的程序,一直处于动态变化中,而ps命令所显示的进程工作状态时瞬间的。 使用方式:ps[options][-help] 常用参数: -A :显示所有进程 -a:显示一个终端的所有进程。除了会话引线 -N:忽略选择 -d:显示所有进程。但省略所有的会好引线。 阅读全文
posted @ 2016-04-19 16:33 ZQ园林 阅读(3315) 评论(0) 推荐(0) 编辑
  2016年4月18日
摘要: DNS服务器的安装和配置 首先在终端输入命令#vi /etc/apt/sources.list 输入更新源 # kali repos installed by TARDIS deb http://http.kali.org/kali kali main non-free contrib deb-sr 阅读全文
posted @ 2016-04-18 10:53 ZQ园林 阅读(230) 评论(0) 推荐(0) 编辑
  2016年4月13日
摘要: 用户账号管理命令 为了提高系统的利用率,避免因多个用户共用一个root账号而造成不必要要的系统安全隐患,通常需要为 新用户添加账户。在Linux系统中,添加用户只能由超级用户来完成,也就是说,只能由root用户使用useradd 或是adduser命令来完成该项工作。 1.添加用户 在使用usera 阅读全文
posted @ 2016-04-13 16:42 ZQ园林 阅读(461) 评论(0) 推荐(0) 编辑