12 2014 档案
摘要:一、修改数据库表前缀默认的表前缀是wp_,如果你安装博客的时候没有修改,可以参考这篇文章修改下表前缀。修改完登录测试下,如果登录成功后提示“您没有足够的权限访问该页面”,说明前缀没有修改完整,参照这篇文章搜索下剩下的,然后一个个手动修改即可。二、去除wordpress特征在当前主题(wp-conte...
阅读全文
摘要:Hammer 不只是一款网络扫描器,更是一个扫描框架,Hammer类似开源的yascanner(当然,目前功能还远不如yascanner,yascanner是我的偶像),与yascanner类似,它偏向于WEB漏洞的收集与检测,不太具有攻击性.http://0xff.sinaapp.com/docu...
阅读全文
摘要:修改XP和7路由表的方法类似,我这里以XP为例。路由表是一个提供计算机作转发数据依据的一张表,存在于任意一台计算机中,现在的计算机基本都是以TCP/IP协议通信,所以计算机中的路由表记录的都是IP网段和IP地址。很多朋友可能以为只有路由器或者交换机这些网络设备里有路由表,其实每台装有操作系统的计算机...
阅读全文
摘要:Linux操作系统定时任务系统 Cron 入门先写笔记:crontab -u //设定某个用户的cron服务,一般root用户在执行这个命令的时候需要此参数 crontab -l //列出某个用户cron服务的详细内容 crontab -r //删除没个用户的cron服务 crontab -e...
阅读全文
摘要:直接用jd-gui jad太麻烦了---------2014-12-19 23:24:04------反编译工具jad简单用法 以下假设jad.exe在c:\java目录下 一、基本用法 Usage:jad [option(s)] 直接输入类文件名,且支持通配符,如下所示。 c:\java\>jad...
阅读全文
摘要:转自:http://yoursunny.com/t/2009/PHP-decode/PHP是网站服务端最流行的编程语言之一。PHP运行环境本身是开源的,服务器不加载插件时PHP脚本也无法加密。但是,总有人因为商业上的考虑,而将PHP程序通过各种方法进行混淆,使读者很难看到清晰易懂的代码。然而,PHP...
阅读全文
摘要:XSS在客户端执行 可以任意执行js代码 0x01 xss 的利用方式1. 钓鱼 案例:http://www.wooyun.org/bugs/wooyun-2014-076685 我是如何通过一个 XSS 探测搜狐内网扫描内网并且蠕动到前台的2.钓鱼,伪造操作界面钓鱼直接跳转document.l...
阅读全文
摘要:我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:为什么要使用PDO而不是mysql_connect?为何PDO能防注入?使用PDO防注入的时候应该特别注意什么?一、为何要优先使用PDO?PHP手册上说得很清楚:Prepared statements an...
阅读全文
摘要:我们在入侵到一台主机的时候,经常会看到管理员的桌面会放着putty.exe,这说明有很大的可能性管理员是使用putty远程管理主机的。该工具主要是针对SSH客户端putty的利用,采用DLL注入的方式,来实现各种猥琐的利用姿势。我依次演示该工具的三种利用场景1)当你远程控制对方主机的时候,管理员正好...
阅读全文
摘要:今年8月份Map在wooyun上发了个Zabbix某前台SQL注射漏洞,11月份才公开。漏洞详情大约是这样的:在zabbix前端存在一个SQL注射漏洞,由于zabbix前台可以在zabbix的server和client进行命令执行,所以这会导致很严重的后果。在 /chart_bar.php 的163...
阅读全文
摘要:漏洞概述:由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。漏洞分析:include/global.func.php代码里:12345678910111213function daddslashes($s...
阅读全文
摘要:本文是第一篇,讲述如何在PHP中执行系统命令从而实现一些特殊的目的,比如监控服务器负载,重启MySQL、更新SVN、重启Apache等。第二篇《PHP监控linux服务器负载》:http://www.ccvita.com/390.html首先先要给大家介绍PHP执行linux系统命令的几个基本函数。...
阅读全文
摘要:http://cn.bing.com/search?q=ip%3A220.181.111.85http://dns.aizhan.com/?q=www.baidu.comhttp://domains.yougetsignal.com/domains.php?remoteAddress=lcx.cch...
阅读全文
摘要:终端输入sudo visudo,显示为以下内容:我们只要修改其中的一点内容,就可以实现sudo不需要输入密码了sudo su -chmod +w /etc/sudoersvim /etc/sudoerschmod -w /etc/sudoers找到%admin ALL=(ALL) ALL注释之, 在...
阅读全文
摘要:原文地址:linux之kali系统ssh服务开启作者:testzeo本人问题:想通过windows7中的putty直接ssh到kali系统,而默认情况下,kali系统ssh服务没有开启.具体按如下操作进行设置:照以下步骤进行配置和操作:1、修改sshd_config文件,命令为:vi /etc/ss...
阅读全文
摘要:环境说明操作系统:CentOSIP:192.168.150.214Oracle数据库版本:Oracle11gR2用户:root 密码:123456端口:3306数据库:ts_0、ts_1、ts_2、ts_3详细的操作步骤如下1、root用户登录服务器mkdir-p/backup/mysqldata#...
阅读全文
摘要:转自:http://www.cnblogs.com/lipan/archive/2011/03/08/1966463.html一、前言 最近开始学习非关系型数据库MongoDB,却在博客园上找不到比较系统的教程,很多资料都要去查阅英文网站,效率比较低下。本人不才,借着自学的机会把心得体会都记录下来...
阅读全文
摘要:记得09年时wp爆过一个重置管理口令的漏洞, 现在用法差不多, 也是我刚刚发现, 网上也没找到有讲述关于这个的.前提:是在有注入点(注入点的话可以通过寻找插件漏洞获得。), 密码解不开, 无法output的情况下获取shell的情况下使用的.这个其实也不算漏洞, 就是结合起来能利用到而已. 因为wp...
阅读全文
摘要:作者:杨中科1、“it专业的学生太多了,而且就业压力很大”是吗? 现在各个大学为了赚钱拼命扩招,所以不仅IT专业的学生人比较多,而且其他专业的学生人数也比较多,“僧多粥少”就通常意味着就业压力大。但是反过来看,现在很多IT企业都存在“人才荒”的问题,也就是很多企业都招不到合适的人才,我认识一些做I...
阅读全文
摘要:渗透测试的时候会遇到RSYNC 匿名访问 在对一些大型互联网进行测试的时候经常会遇到rsync。 什么是Rsync Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件。Rsync使用所谓的“Rsync算法”来使本地和远 程两个主机...
阅读全文
摘要:Requests 是用Python语言编写,基于 urllib,采用 Apache2 Licensed 开源协议的 HTTP 库。它比 urllib 更加方便,可以节约我们大量的工作,完全满足 HTTP 测试需求一、安装 Requests通过pip安装Code example:1$ pipinsta...
阅读全文
摘要:最近事情比较多, 也有些累··· 好想什么也不管睡一会, 真的好累的啊~ 学无止境,学了越多 感觉自己知道的越少, 看了很多书了,可是还是会遇到一些困难搞不定~
阅读全文
浙公网安备 33010602011771号