CH3UHX9

摘要： 简介 在控制了用户之后，利用用户的权限（如果比较大），就能够执行sql语句，并且导出WebShell。 步骤 建立表hack，设置字段名为cmd（text类型并不允许为空）； 向cmd字段插入字符串，此时字符串为一句话木马； 导出cmd字段的内容到硬盘； 删除表hack。 常用语句 Access C 阅读全文

摘要： 简介 Xray是长亭科技开发的一款漏扫工具。 支持多种扫描方式和漏洞类型。 可自定义POC（Proof of Concept）概念验证，即漏洞验证程序。 俺是在 乌雲安全 看到了这个工具的使用，作为一个脚本小子初学者，这里做一下笔记。 使用 webscan 参数 参数 作用 --list, -l l 阅读全文

摘要： 简介 Nmap（Network Mapper）是一款开放源代码的网络探测和安全审核的工具。 Nmap以新颖的方式使用原始IP报文来发现网络上有一些主机，那些主机提供什么服务（应用程序名和版本），那些服务运行在什么操作系统（包括版本信息），它们使用什么类型的报文过滤器/防火墙，以及一堆其他功能。 参数 阅读全文

摘要： 介绍 首先给出官网。 Scapy是用Python编写的交互式数据包处理工具。 使用Scapy可以伪造或解码各种协议的数据包，在线发送它们，捕获它们，匹配请求和答复等等。 下载 由于是Python编写的，使用pip install进行安装，这里使用清华源加速。 pip3 install scapy - 阅读全文

摘要： 介绍 XTerm是一个X Window System上的终端模拟器，用来提供多个独立的SHELL输入输出。 XTerm使用虚拟终端技术将远程主机的终端模拟出来，实现了远程终端控制。 Iperf 是一个网络性能测试工具，可以测试最大TCP和UDP带宽性能，具有多种参数和UDP特性，可以根据需要调整，可 阅读全文

摘要： WarmUp 题目介绍 这道题来自BUUCTF，Web组的第一题。 设计的知识点包括： PHP代码审计 远程文件包含 题目代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) 阅读全文

摘要： 介绍 Docker Image（镜像）就是一个集装箱，可以看作是封装成了一个小型的操作系统。 Docker就是一个容器，Image可以在上面运行。 这样的机制使得，我们只要有Docker，就能够在不同系统运行Image。 Docker和虚拟机有很大的相似之处，不过Docker更轻量级，每次不会运行出 阅读全文

摘要： 介绍 这学期的数据库课程要求使用PostgreSQL作为学习使用的数据库工具。 所以今天尝试着安装了一下PostgreSQL，出了一些问题，在此做一个记录。 环境 Windows Windows是首选，不论安装还是后期使用都方便许多。 PostgreSQL自带pgAdmin也省去了很多步骤。 这里参 阅读全文

摘要： 漏洞介绍 CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称，是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算 阅读全文

摘要： 漏洞介绍 跨站请求伪造，也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF。 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页 阅读全文