摘要:
wget http://download.redis.io/releases/redis-2.8.3.tar.gz 下载 tar xzf redis-2.8.3.tar.gz 解压 cd redis-2.8.3/ make 编译 mkdir /usr/redis cd src/ redis-serv 阅读全文
摘要:
短信轰炸.vbs 门罗币挖矿.vbs 开机自启.vbs 开3389+非net创建管理用户+Shift后门+自删除脚本.vbs 去密码.vbs 清除3389远程桌面连接痕迹.bat 清除日志.bat 阅读全文
摘要:
CVE-2014-4210 Oracle WebLogic web server即可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可 阅读全文
摘要:
一.利用shodan,fofa或谷歌搜索关键字:8080/jmx-console/ 二.下载java反序列化终极测试工具进行验证漏洞 三.记住User Current Directory: C:\jboss-6.1.0.marks\ (ps:这是网站的根目录) 四.war文件的部署 JBoss支持热 阅读全文
摘要:
一.先用御剑扫描 二.点击第一个目录,发现sql文件 三.把它载下来,用Notepad++打开。发现管理员的账号和密码(admin的密码好像被人改了,然后我用admin888登的后台) 四.后台地址127.206.31.85:1001/admin,点击右侧的下载系统:添加下载资源。然后选择小马上传即 阅读全文
摘要:
一.通过弱口令登录Tomcat后台 二.制作木马.war 1安装JDK 2.写一个jsp小马(我的小马是6.jsp) 3.cmd进小马的目录,然后运行 jar cvf shell.war 6.jsp 三.部署shell.war 1.点击浏览文件,选择shell.war 2.点击Deploy 3.部署 阅读全文
摘要:
1.文件头加 可以绕过狗,waf等 另外如果很容易吧对方扫死的话,可以在第一项limit number…..,这里是最大的并发连接数默认是10,可以改低为2-5 某些WAF对访问请求时间太快会进行拦截,可以进行延迟发包,在Delay between 默认是0,改为1-5 2.表单验证用户某些页面,例 阅读全文
摘要:
学习总结 1.FCKeditor+php 2.6.6版本以上没漏洞 2. UEditor1.3.6+php+Apache 菜鸡的我日不下,要是ll6.0菜刀就能解析了 3.linux菜刀提示”命令失败,可能远程启用了安全模式!”是因为网站开启了php安全模式safe_mode=on|off。想通过修 阅读全文
摘要:
废话: 1.听说网上卖手机的网站很多是诈骗的,搜到一个499元货到付款的手机网站。有点像诈骗,但倒觉得他是在收集用户信息 2.把网站扔到御剑,搜到phpmyadmin的后台,试试下账号密码居然都是默认的(root root) 省得爆破了 步骤: 1. 2. 3. 阅读全文
摘要:
本文章仅用于网络安全交流学习,严禁用于非法用途,否则后果自负 一.如何批量找SQL注入(工具+资源都打包):http://www.liuwx.cn/post-149.html 1.SQL注入点搜索关键字集合:http://blog.sina.com.cn/s/blog_6910b7580101ci6 阅读全文