摘要： apostrophemask.py UTF-8编码 Example: * Input: AND '1'='1' * Output: AND %EF%BC%871%EF%BC%87=%EF%BC%871%EF%BC%87 apostrophenullencode.py unicode编码 Example: * Input: AND '1'='1' * Output: AND %00%271%00%27=%00%271%00%27 appendnullbyte.py 添加%00 Example: * Input: AND 1=1 * 阅读全文

摘要： dbowner 通过注射得到一个shell应该不是什么难事情了，比较麻烦的是就算利用增量备份，仍然有很多不确定的因素，如果之前别人有过什么错误的写入信息，可能备份出来得到的还是一些不能用的500错误，如何能够提高成功率及重用性呢？如果单从调整增量备份的方式来看，尽管能够达到一些效果，但是方法比较复杂而且效果不明显。加上关于重用性的考虑，例如多次备份的成功率，backupdatabase的方法并不太适用。这里将要讲述的是另外一个备份的方法，导出日志文件到web目录来获得shell。获得webshell首先要知道物理路径。关于物理路径的暴露有很多方法，注入也可以得到，就不再多说。值得注意的是，如果 阅读全文

摘要： =====================同级参考资料：《linux--私钥登陆》http://mengsir.blog.51cto.com/2992083/908342写shell免不了要远程执行shell命令，自然就要实现免登陆。免登陆的原理：============================首先说明一下处理机制： 1.非对称密钥就是一对密钥－公钥和私钥。 2.私钥由系统中没个人自己持有，一般保存在自己的电脑里或u盘里。 3.公钥则在网络上传递，就是可以传递给通信中的对方，也就意味这可以被黑客截获。 4.用某个人的私钥加密的数据只有用那个人的公钥解密，同样用公钥加密的数据也只... 阅读全文

摘要： 00x00 起因连接远程桌面的时服务器出现如下提示：1You are not allowed to access to this Terminal Server. Please contact your administrator for more information. Secured by SecureRDP.仔细一看不是远程管理组的问题,而是SecureRDP这个软件限制造成SecureRDP是一款用户登录服务器管理软件.防止非法用户试图暴力破解用户密码；可以过滤IP/MAC地址、计算机名等.具体有以下功能： 1.连接限制 允许按照登陆时间,IP地址,主机名,MAC地址,Clien.. 阅读全文

摘要： ecshop后台拿shell总结 ecshop拿shell一、系统==>数据库管理==>sql查询（可爆出物理路径）：==============创建表失败，导不出shell======================show databases; use 数据库名; create a(cmd text not null); insert into a(cmd) values(‘‘); select cmd from a into outfile ‘导出路径’; drop table if exists a;==================创建表失败，导不出shell===== 阅读全文

摘要： 1、单引号爆路径 直接在URL后面加单引号，要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 www.xxx.com /news.php?id=149′ 2、错误参数值爆路径 将要提交的参数值改成错误值，比如-1。单引号被过滤时不妨试试。 www.xxx.com /researcharchive.php?id=-1 3、Google爆路径 结合关键字和site语法搜索出错页面的网页快照，常见关键字有warning和fatal error。注意，如果目标站点是二级域名，site接的是其对应的顶级域名，这样得到的信息要多得多。 Site:2cto.com warning Site: 阅读全文

摘要： 1.查看3389端口，很多变态管理员会修改为其它的：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 这条命令是查看远程桌面连接所开的端口是多少 一般默认显示是0xd3d 也就是33892.查看3389的svchost的进程的pid，这样可以结合netstat -ano来看3389的监听端口 【目的与1类似】tasklist /svc然后找如下（则远程进程号为1348）：svchost.exe 1348 DcomLaunch, 阅读全文

摘要： 大家都知道oracle比较大,11g的安装程序大约在1.4g左右,可能大家遇到oracle的库比较少，oracle+jsp的搭配的比较好... oracle系统库默认的用户有sys,system,internal,scott,前三个权限都是system权限.. 先说下数据库的注释:access支持null和注释; mssql支持--和;的注视;mysql支持/*的支持;oracle支持--的注视 这里也许大家说了如果mssql过滤了;注视,该怎么区别oracle和mssql数据库呢,如果是oracle的库,一旦出错的话,很多时候就会出现oracle.odbc等之类的存储过程出错的语句,也可以通 阅读全文

摘要： 1、通过floor报错可以通过如下一些利用代码and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);and (select count(*) from (select 1 union select null union select !1)x group by concat((select table_name from information_schema.tables limit 1),floor(rand(0)* 阅读全文

摘要： web应用一般采用基于表单的身份验证方式（页面雏形如下图所示），处理逻辑就是将表单中提交的用户名和密 码传递到后台数据库去查询，并根据查询结果判断是否通过身份验证。对于LAMP架构的web应用而言，处理逻辑采用PHP，后台数据库采用MySQL。而在这一处理过程，由于种种处理不善，会导致不少严重的漏洞，除去弱口令与暴力破解，最常见的就是SQL注入。SQL注入可以在SQLNuke——mysql 注入load_file Fuzz工具看到如何利用，而本篇博客的重点是利用MySQL隐形的类型转换绕过WAF的检测。下面使用实例来展示这一过程。实例包括2个脚本login.html与login.php，1张存 阅读全文