i春秋

摘要： 前言　"网络钓鱼"是指不法分子将网站伪装成真实的银行或电子商务网站来窃取用户银行账号、密码等私密信息的欺诈行为。由于网络钓鱼可窃取个人用户储蓄卡或信用卡账号、密码等信息，导致受害用户蒙受严重的经济损失，该问题一直以来受到广泛的关注。近日小编的一个朋友也遇到假冒10086钓鱼网站，幸好小编朋友的安全意 阅读全文

摘要： 前言WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。本篇文章将带大家学习如何获取WebShell，如何隐藏WebShell，有攻必有防，最后带大家学习查杀WebShell。 目录 第一节 CMS获取WebShell 第二节 非 阅读全文

摘要： 0x00 360搜索的解释 Google Chrome提供了审查元素功能，只需右键点击"审查元素"(名字)，即可打开Chrome Inspector，获得网页各种元素的加载时间、Javascript函数、Object等信息。本章文章主要以360的审查元素进行讲解。 0x01 360审查元素各部分的分 阅读全文

摘要： 00x01安全狗的确是让人很头痛，尤其是在上传一句话或者写入一句话的时候，会被安全狗拦截从而拿不下shell。当然，安全狗是最简单的一款waf，很容易就进行一个绕过。00x02对于绕过安全狗跟360，我姿势不多，但是却很实用为以下两种 1.#可变变量2.#引用变量 00x03##可变变量(菜刀可能报 阅读全文

摘要： 今天在放肆网络论坛逛得时候，打开帖子发现一个木马下载弹窗，起初还以为是别的页面弹窗的，后来经验证确实是放肆网络论坛的估计是被挂马了吧~但是小编想吐槽的是：挂马不是这样挂的亲~目测小白。。。直接iframer。。。。而且直接就用hfs下载地址，自己的服务器就暴露了，看了下hfs的版本信息，是2.3be 阅读全文

摘要： 这个绝对原创！ + 首发！个人认为免杀大致分为这几个方面：1.关键字拆分。 比如assert，可以写成 'a'.'ss'.'e'.'r'.'t'这样。2.可变变量、引用、可变函数。 可变变量 比如$a=$_POST['x'];$b='a';@eval($$b); 引用 比如$a=$_POST['x' 阅读全文

摘要： 1.本人家里的路由器也是某星的，闲的蛋疼所以搞了搞。先用工具扫了扫端口。咦，竟然开着23端口。然后扫了扫同网段的。<ignore_js_op> 然后telnet上去。我已经对某星无语了：admin，admin登上了<ignore_js_op> 当我看到“#”这个时候更加无语，直接就是root权限<i 阅读全文

摘要： WEB安全系列之如何挖掘任意用户登录漏洞 0x01 前言 每周两篇文章打卡。坏蛋100块钱都不给我，好坏好坏的。0x02 什么是任意用户登录漏洞 几乎每个网站都有自己的会员系统，有会员，就有登录机制，如果可以登录其他用户账户，那么就可以窃取其他用户的资料数据。如果配合上脚本的话，甚至可以批量获取用户 阅读全文

摘要： 在网上逛商城，偶然间看到一个商城，就开始测试漏洞，却不能改价噗噗！就此放弃了么，分析网页代码，并不没有对提交负订单的限制，只有一个判断帐号余额的代码。噗转换思路方法开始R把首先打开商城（积分就是余额） <ignore_js_op> 随便找个商品，以R以下充电宝为例（看到吧可以R苹果） <ignore 阅读全文

摘要： ​　1.1 什么是网关 首先来简单解释一下什么是网关，网关工作在OSI七层模型中的传输层或者应用层，用于高层协议的不同网络之间的连接，简单地说，网关就好比是一个房间通向另一个房间的一扇门。 1.2 ARP协议是什么 ARP（Address Resolution Protocol）地址转换协议，工作在 阅读全文