04 2018 档案

weblogic AND jboss 反序列化漏洞
摘要:1.weblogic反序列化漏洞 通过java反序列化漏洞利用工具验证,如图6可知,该漏洞是存在的. 现在我们可以执行命令,文件管理, 上传shell 遇到一个问题,我们选择webshell上传,但是上传我们需要一个我们能进行web访问的路径,但是路径在哪找呢? 我们可以通过查看页面中的图片属性,然 阅读全文
posted @ 2018-04-27 16:47 晓枫v5 阅读(632) 评论(0) 推荐(0)
WEB中间件--Jboss未授权访问,加固,绕过
摘要:1,Jboss未授权访问部署木马 发现存在Jboss默认页面,点进控制页 点击 Jboss.deployment 进入应用部署页面 也可以直接输入此URL进入 搭建远程木马服务器,可以用apache等web服务器来搭建,通过addurl参数进行木马的远程部署 部署成功,访问木马地址 最后附上一个jb 阅读全文
posted @ 2018-04-26 13:09 晓枫v5 阅读(3737) 评论(0) 推荐(0)
WEB中间件--tomcat爆破,burp和python脚本,getshell,war包
摘要:1.tomcat 用burpsuit进行弱口令爆破 先抓包 发送到inturder payload type 选择custom iterater 第一个payload选用户名文件,第二个payload用 : 第三个选密码文件 设置base64加密,和去掉URL编码 开始攻击,得到用户名密码 2.用p 阅读全文
posted @ 2018-04-26 10:21 晓枫v5 阅读(3362) 评论(0) 推荐(0)
WEB中间件漏洞--IIS
摘要:1.iis安装 版本 一直下一步,选上iis安装 端口修改 网站目录 通过网站发布目录(发布目录任意),新建index.html页面,可以正常访问 2.iis6.0解析漏洞 (1)文件名解析 IIS在处理有分号(;)的文件名时,会截断后面的文件名,造成解析漏洞。 (2)目录解析 3.IIS 7.0/ 阅读全文
posted @ 2018-04-25 12:43 晓枫v5 阅读(350) 评论(0) 推荐(0)
文件包含漏洞(RFI)
摘要:1文件包含漏洞简介 include require include_once require_once RFI综述 RFI是Remote File Inclusion的英文缩写,直译过来就是远程文件包含,文件包含的目的是:程序员编写程序时,经常会把需要重复使用的代码写入一个单独的文件中,当需要调用这 阅读全文
posted @ 2018-04-24 19:37 晓枫v5 阅读(1311) 评论(0) 推荐(0)
sql注入记录------类型转换错误---convert()函数,一句话图片马制作
摘要:sql注入在联合查询是出现一下错误查不到数据 Illegal mix of collations for operation 'UNION' 2.一句话图片马 阅读全文
posted @ 2018-04-23 18:34 晓枫v5 阅读(595) 评论(0) 推荐(0)
文件上传----常见的几种形式
摘要:1遇到文件上传先抓包,尝试修改后缀大小写,关键字替换为空1.pphphp,修改Content-Type加上gif文件头信息gif89a 和00截断. 基本修改以下3处还有截断 还有一种是在路径处截断 2.htaccess文件上传拿shell 例子 先上传图片马 然后上传写好的.htaccess文件 阅读全文
posted @ 2018-04-23 18:26 晓枫v5 阅读(877) 评论(0) 推荐(0)
SQL注入篇二------利用burp盲注,post注入,http头注入,利用burpsuit找注入点,宽字节注入
摘要:1.布尔盲注burpsuit的使用 先自己构造好注入语句,利用burpsuit抓包,设置变量,查出想要的信息。 比如 查数据库名的ascii码得到数据库构造好语句 抓包,发送到intruder,设置变量 第一个变量设置为numbers 1到8,第二个变量也设置为numbers 0到127 开始爆破, 阅读全文
posted @ 2018-04-20 19:44 晓枫v5 阅读(9077) 评论(0) 推荐(0)
WEB安全--高级sql注入,爆错注入,布尔盲注,时间盲注
摘要:1.爆错注入 什么情况想能使用报错注入 页面返回连接错误信息 常用函数 updatexml()if...floorextractvalue 获取数据库信息 获取表名 获取列名 获取字段内容 (2)还有一种爆错注入 2.布尔盲注 特点:页面存在异常,但是即无回显也无报错信息利用 只能通过正确与错误两种 阅读全文
posted @ 2018-04-19 19:57 晓枫v5 阅读(1025) 评论(0) 推荐(1)
WEB安全基础之sql注入基础
摘要:1.基础sql语句 2.显注 基本联合注入 由上可知注入代码为 1.查询当前数据库和用户 2.查询所有数据库 3.查某数据库下的所有表名 4.查某表下所有列(字段)名 5.查询字段的内容 某一猥琐手法 1.一般求闭合字符 阅读全文
posted @ 2018-04-18 19:33 晓枫v5 阅读(307) 评论(0) 推荐(0)
数据库基础
摘要:1.mysql安装 mysql安全设置(系统会一路问你几个问题,看不懂复制之后翻译,基本上一路yes): mysql安装完后不允许远程连接 执行以下代码: 2.数据库的简单用法 一、新建数据库,数据库名为anyun 二、查看数据库 三、使用数据库 四、创建表 五、查看表结构 六、插入数据 七、查询w 阅读全文
posted @ 2018-04-17 09:17 晓枫v5 阅读(172) 评论(0) 推荐(0)
python基础
摘要:客户端大多数连接都是可靠的TCP连接。创建TCP连接时,主动发起连接的叫客户端,被动响应连接的叫服务器。举个例子,当我们在浏览器中访问新浪时,我们自己的计算机就是客户端,浏览器会主动向新浪的服务器发起连接。如果一切顺利,新浪的服务器接受了我们的连接,一个TCP连接就建立起来的,后面的通信就是发送网页 阅读全文
posted @ 2018-04-13 23:22 晓枫v5 阅读(205) 评论(0) 推荐(0)
linux基础——文件挂载,lamp安装
摘要:一. 文件挂载 lsblk -f 显示文件系统信息 mount -t vfat UUID="ffffffffff" /mnt 挂载到/mnt目录 Linux针对于各式U盘挂载方法整理 二. Lamp 安装 1.centos 6 yum -y install httpd //安装Apache chkc 阅读全文
posted @ 2018-04-09 19:41 晓枫v5 阅读(245) 评论(0) 推荐(0)
linux——网络基础
摘要:装完linux系统要对网络(ip地址,子网掩码,网关,DNS)进行配置,才能连接网络 一,开启网卡eth0 CentOS显示没有网卡(eth0) 2.设置静态IP vim /etc/sysconfig/network-scripts/ifcfg-eth0 设置DNS服务 3. 设置临时IP,网关if 阅读全文
posted @ 2018-04-08 18:42 晓枫v5 阅读(234) 评论(0) 推荐(0)
Linux基础
摘要:上课两天了,时间挺紧张的,基本一坐就是一上午3 4个小时。还有自己是真菜,连最基础的手注都弄不好,看着会点,真写又写不对,紧张起来,开始补基础。 一.基础命令 ls 查看文件与目录 ls -l 显示详细信息 lspci 查看硬件信息 man ls 查看ls命令帮助文档 cd 切换目录 cd - 切换 阅读全文
posted @ 2018-04-03 23:05 晓枫v5 阅读(193) 评论(0) 推荐(0)
C语言学习之弹跳小球
摘要:重新回过头来看了一遍C语言,才发现我自己的无知,C语言其实好强大,我之前学的不过是一点C语法和做几个数学题。正好3月份的考试要考C语言,重新学一遍,先是在中国大学mooc上把翁恺老师的C语言刷了一遍,感觉对C有了个整体的了解,后面的数组,指针,文件流还是挺难的,还要多理解。 阅读全文
posted @ 2018-04-03 18:14 晓枫v5 阅读(936) 评论(0) 推荐(0)