clown-b

摘要： Apache Shiro反序列化漏洞(CVE-2016-4437) 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shi 阅读全文

摘要： Tomcat 后台war包getshell 漏洞描述： Tomcat支持在后台部署war文件，可以直接将webshell部署到web目录下。 若后台管理页面存在弱口令，则可以通过爆破获取密码。 影响范围： Apache Tomcat 全版本 环境准备: 虚拟机: VMware 操作系统: Windo 阅读全文

摘要： Tomcat put文件上传漏洞(CVE-2017-12615) 漏洞描述： 当Tomcat运行在Windows操作系统上，且启用了HTTP PUT请求方法（将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求上传任意文件，包括JSP类型的木马。 影响 阅读全文

摘要： SQLi-Labs--Page-1 (Basic Injections) SQL注入流程： 判断是否存在注入点 判断查询字段数（order by） 判断回显点（union select） 查询（当前）数据库 查询数据库中的表 查询字段名 获取表中数据 Less-1：单引号闭合(字符型) 单引号闭合， 阅读全文

摘要： Linux awk命令 AWK 是一种处理文本文件的语言，是一个强大的文本分析工具。 之所以叫 AWK 是因为其取了三位创始人 Alfred Aho，Peter Weinberger, 和 Brian Kernighan 的 Family Name 的首字符。 语法: awk [选项参数] 'scr 阅读全文

摘要： python 字符串 String(all) 字符串|序列|不可变 Single quotes(单引号):'tes"t1' Double quotes(双引号):"tes't2" Triple quotes(三引号):'''...test3...'''/"""...test3...""" Escap 阅读全文

摘要： SQL:结构化查询语言(Structured Query Language) SQL的功能:查询数据库、插入、更新、删除和查询数据库并返回结果。 SQL语言分类： DDL 数据定义语言（Data Definition Language） DML 数据操作语言（Data Manipulation La 阅读全文

摘要： Kali Linux——netcat（nc） 网络工具中的瑞士军刀——小身材、大智慧 侦听模式/传输模式 Telnet/获取banner信息 传输文本信息 传输文件/目录 加密传输文件 远程控制/木马 加密所有流量 流媒体服务器 远程克隆硬盘 操作指令 显示参数帮助文档 nc -h 获取banner 阅读全文

摘要： XSS XSS，全称Cross Site Scripting，及跨站脚本攻击，某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其他脚本语言。分为存储型XSS与反射 阅读全文

摘要： SQL注入 通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符窜，最终达到欺骗服务器执行恶意的SQL语句命令 形成SQL注入漏洞原因： 用户可以控制输入 输入的数据被拼接到SQL语句一起执行。 级别：Low 源码分析：直接代入接收参数进行查询，没有对参数进行任何过滤和防护。 漏洞利用 阅读全文