10 2014 档案

pkav之当php懈垢windows通用上传缺陷
摘要:$pkav->publish{当php懈垢windows}剑心@xsser抛弃了我,但我却不能抛弃乌云..php懈垢windows,就像男人邂逅女人,早晚都会出问题的..感谢二哥@gainoverTips:本文讲述一种新型的文件上传方式(几个特性导致的漏洞),并给出相应的实例..详细说明:#1 实例... 阅读全文
posted @ 2014-10-31 20:34 anything good 阅读(608) 评论(0) 推荐(0)
大型网站系统架构演化之路
摘要:前言一个成熟的大型网站(如淘宝、京东等)的系统架构并不是开始设计就具备完整的高性能、高可用、安全等特性,它总是随着用户量的增加,业务功能的扩展逐渐演变完善的,在这个过程中,开发模式、技术架构、设计思想也发生了很大的变化,就连技术人员也从几个人发展到一个部门甚至一条产品线。所以成熟的系统架构是随业务扩... 阅读全文
posted @ 2014-10-31 20:33 anything good 阅读(152) 评论(0) 推荐(0)
ModSecurity SQL注入攻击 – 深度绕过技术挑战
摘要:ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介... 阅读全文
posted @ 2014-10-31 20:00 anything good 阅读(701) 评论(0) 推荐(0)
SQL注入中的WAF绕过技术
摘要:作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1.... 阅读全文
posted @ 2014-10-31 14:17 anything good 阅读(379) 评论(0) 推荐(0)
几种通用防注入程序绕过方法 |
摘要:0x00 前言目前主流的CMS系统当中都会内置一些防注入的程序,例如Discuz、dedeCMS等,本篇主要介绍绕过方法。0x01 Discuz x2.0防注入防注入原理这里以Discuz最近爆出的一个插件的注入漏洞为例,来详细说明绕过方法。漏洞本身很简单,存在于/source/plugin/v63... 阅读全文
posted @ 2014-10-31 14:16 anything good 阅读(647) 评论(0) 推荐(0)
sqlmap用户手册
摘要:http://www.waitalone.cn/sqlmap-users-manual.html 阅读全文
posted @ 2014-10-31 14:15 anything good 阅读(151) 评论(0) 推荐(0)
用PROXYCHAINS实现SSH全局代理
摘要:NUX下可以实现SSH全局代理的软件有tsocks和proxychains两种,但是个人感觉proxychains要更加稳定简单。$yum install proxychains# vim /etc/proxychains.conf 要选 dynamic_chain,而不是random_chain和... 阅读全文
posted @ 2014-10-28 20:27 anything good 阅读(1964) 评论(0) 推荐(0)
linux之sort用法
摘要:sort命令是帮我们依据不同的数据类型进行排序,其语法及常用参数格式: sort [-bcfMnrtk][源文件][-o 输出文件]补充说明:sort可针对文本文件的内容,以行为单位来排序。参 数:-b忽略每行前面开始出的空格字符。-c检查文件是否已经按照顺序排序。-f排序时,忽略大小写字母。-... 阅读全文
posted @ 2014-10-13 13:47 anything good 阅读(163) 评论(0) 推荐(0)
PHP 变量定义及使用
摘要:php的变量前面必须有$符号,而且是解释型的弱类型语言,定义的时候不需要定义变量值的类型.$str="这是个变量";1.输出的时候可以用拼接字符串的方法如:echo"abcdef".$str;字符车变量的连接符号是"."和其他语言的"+"有所不同.每句代码是以";"结尾.输出:abcedf这是个变量... 阅读全文
posted @ 2014-10-12 17:31 anything good 阅读(1687) 评论(0) 推荐(0)
查漏补缺
摘要:今天早上一起来腰酸背痛, 昨晚3点多才睡着, 看来不规律的睡觉真的是很害人啊····· 这样下去身体会垮的, 我什么也没做·· 可是最近身体感觉越来越差了 人也容易冒火....看来只有加强锻炼了啊 ,少看点知乎(扯呼) 最近知乎上越来越扯了,1024的内容也多.. 有了知乎 再也不用上1024了呢身... 阅读全文
posted @ 2014-10-11 13:24 anything good 阅读(231) 评论(0) 推荐(0)
总结2
摘要:当技术达到一定的地步之后, 思维是关键 把一些基础的技术组合起来,运用起来, 而不是在去学习新的技术像我现在来讲,已经能看懂一些PHP 了, xss+csrf 或者php审计更契合当前的技术。 python +EXP 的编写和爬虫组合更棒, 而不是直接去学新的技术liunx是需要掌握 ,LIUNX是... 阅读全文
posted @ 2014-10-10 22:49 anything good 阅读(192) 评论(0) 推荐(0)
最近
摘要:今天总结了一下, 发现最近研究的方向偏了, 得多去实践实践太少了, 看书太多了 结果导致有一些漏洞没有理解到, 有一些知识用了没有运用到 所以需要多多的实践·另外身体差了,需要多出去跑步,或者打乒乓球, 多和朋友一起去聚会,玩耍 阅读全文
posted @ 2014-10-10 22:40 anything good 阅读(178) 评论(0) 推荐(0)
mysql的root弱口令 提权
摘要:http://blog.sina.com.cn/s/blog_6ca7b58101013kt4.html 阅读全文
posted @ 2014-10-10 16:24 anything good 阅读(570) 评论(0) 推荐(0)
XXE 攻击技术
摘要:http://security.tencent.com/index.php/blog/msg/69 阅读全文
posted @ 2014-10-10 16:19 anything good 阅读(171) 评论(0) 推荐(0)
社工数据搜索引擎搭建
摘要:作者:le4fhttp://le4f.net/post/post/build-social-engineer-evildata-search-engine如何设计搭建一个社工库从初起设计一个社工库,到现在的Beta,前前后后零零整整花了不下一个月的时间,林林总总记录下来,留给需要之人泄露数据库格式不... 阅读全文
posted @ 2014-10-04 15:03 anything good 阅读(2204) 评论(0) 推荐(0)
SSRF
摘要:http://netsecurity.51cto.com/art/201312/424038_all.htm 阅读全文
posted @ 2014-10-04 12:52 anything good 阅读(130) 评论(0) 推荐(0)
关于Blind XXE
摘要:关于Blind XXE关于XXE,很早之前内部做过分享,个人觉得漏洞本身没太多的玩点,比较有意思主要在于:不同语言处理URI的多元化和不同XML解析器在解析XML的一些特性。在科普Blind XXE之前,假定你们已经掌握了XXE,了解了 XML, Entity, DCOTYPE, DTD等这些基础知... 阅读全文
posted @ 2014-10-04 12:51 anything good 阅读(753) 评论(0) 推荐(0)
blind xxe攻击
摘要:最近做啊里的题的时候遇到了http://hivesec.net/web-security/%E5%85%B3%E4%BA%8Eblind-xxe.html 阅读全文
posted @ 2014-10-04 11:46 anything good 阅读(294) 评论(0) 推荐(0)
linux awk命令详解
摘要:转载自:http://www.cnblogs.com/ggjucheng/archive/2013/01/13/2858470.htmlhttp://www.cnblogs.com/ggjucheng/archive/2013/01/13/2858470.html简介awk是一个强大的文本分析工具,... 阅读全文
posted @ 2014-10-04 11:09 anything good 阅读(288) 评论(0) 推荐(0)

孤 's 博客