摘要:您好: 此博客已经不会再更新内容,博主的最新文章请关注https://www.secpulse.com/newpage/author?author_id=9122,谢谢。 阅读全文
posted @ 2019-01-14 13:33 米怀特 阅读(205) 评论(0) 推荐(0) 编辑
摘要:Change Cipher Spec 中文翻译为 更改密码规格。 恢复原有会话的SSL握手过程流程如下: 关于如何用Change Cipher Spec传输数据,可以扩展tcp.payload。 tcp.payload 是 TCP有效载荷。 TCP 数据:载送上层协议(Application Lay 阅读全文
posted @ 2018-06-08 10:27 米怀特 阅读(1401) 评论(0) 推荐(0) 编辑
摘要:0x00 概述 需要成功安装scrapy,安装方法与本文无关,不在这多说。 0x01 配置settings 由于百度对于user-agent进行验证,所以需要添加。 settings.py中找到DEFAULT_REQUEST_HEADERS,设置好后如下: settings.py中找到ROBOTST 阅读全文
posted @ 2017-07-18 23:29 米怀特 阅读(521) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2017-07-13 12:04 米怀特 阅读(12) 评论(0) 推荐(0) 编辑
摘要:在头像上传位置,可能会出现任意文件上传。 截图如下: 阅读全文
posted @ 2017-07-12 10:31 米怀特 阅读(576) 评论(2) 推荐(0) 编辑
摘要:初次接触这个框架,先订个小目标,抓取QQ首页,然后存入记事本。 安装框架(http://scrapy-chs.readthedocs.io/zh_CN/0.24/intro/install.html) 创建一个项目,项目根目录输入 在spiders文件夹下面新建一个qq_spider.py,写入内容 阅读全文
posted @ 2017-07-03 22:32 米怀特 阅读(140) 评论(0) 推荐(0) 编辑
摘要:在渗透测试早期阶段,安全人员往往需要从互联网快速获取目标的一些信息,以确认测试目标的概况。为了满足这个需求,Kali Linux提供了theharvester工具。该工具可以搜索引擎、社交网站获取目标相关的信息,如邮件地址、子域名、主机、雇员姓名、开放端口等。由于要满足用户的快速收集信息的需求,该工 阅读全文
posted @ 2017-06-29 23:20 米怀特 阅读(423) 评论(0) 推荐(0) 编辑
摘要:网站的页面提交参数做了md5转换,而且参数会带入两个SQL语句中执行。 注入是肯定存在的,但是SQLMAP怎么都跑不出来(可能原因是其中有个SQL语句总是报错)。 尝试手工,发现 order by 报错。; ) 没关系,那就直接上union select。 经过尝试发现 union select 1 阅读全文
posted @ 2017-06-29 19:58 米怀特 阅读(819) 评论(0) 推荐(0) 编辑
摘要:0x00 关于序列化和反序列化 在了解反序列化漏洞之前需要先了解序列化和反序列化。 序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。 把字节序列恢复为对象的过程称为对象的反序列化。 0x01 关于概述反序列化漏洞 由于把字节序列恢复为对象,并且没有限制恢复对象 阅读全文
posted @ 2017-06-29 19:09 米怀特 阅读(266) 评论(0) 推荐(0) 编辑
摘要:假设黑客要入侵的你的网站域名为:hack-test.com 让我们用ping命令获取网站服务器的IP地址. 现在我们获取了网站服务器的IP地址为:173.236.138.113 寻找同一服务器上的其它网站,我们使用sameip.org. 26 sites hosted on IP Address 1 阅读全文
posted @ 2017-06-28 13:50 米怀特 阅读(519) 评论(0) 推荐(0) 编辑