摘要:
前言: XXE Injection即XML External Entity Injection也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题. XML相关名词科普: HTML与XML得区别: 与HTML不同的是XML可以自定义标签。 HTML就是简单的制作网页 阅读全文
posted @ 2017-09-19 02:07
珍惜少年时
阅读(472)
评论(0)
推荐(0)
摘要:
转载自:http://www.91ri.org/9539.html 0x00 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.在XML1.0标准⾥里,XML文档结构⾥ 阅读全文
posted @ 2017-09-18 23:20
珍惜少年时
阅读(1488)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2017-09-02 00:21
珍惜少年时
阅读(22)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2017-09-02 00:05
珍惜少年时
阅读(18)
评论(0)
推荐(0)
摘要:
00x1 安装漏洞 install/cmsconfig.php 这几个都是可控的,并没有进行任何处理。然后传到了$text2,然后又写到了cmsconfig.php当中。 这个漏洞比较简单,直接在配置信息中填写一句话闭合就可以getshell了。 POC:"@eval($_POST['xishaon 阅读全文
posted @ 2017-08-30 15:50
珍惜少年时
阅读(269)
评论(0)
推荐(0)
摘要:
抓包的时候在攻击类型处选择【Cluster bomb】 在payload type这里设置类型为【simple list】 第一个是账号 第二个是密码 分批加载即可 阅读全文
posted @ 2017-08-30 02:23
珍惜少年时
阅读(394)
评论(0)
推荐(0)
摘要:
刚才遇到那么尴尬的一个情况,输入啥命令都没找到。连ifconfig都不放过。 后分析极可能是以下两种缘故: 1.缺少安装包 [root@Tzhost-170802-FCF0 /]# yum search ifconfig #搜索关于ifconfg的数据Loaded plugins: fastestm 阅读全文
posted @ 2017-08-29 01:50
珍惜少年时
阅读(3268)
评论(0)
推荐(0)
摘要:
在xp_cmdshell被删除或者出错情况下,可以充分利用SP_OACreate进行提权 首先 EXEC sp_configure 'show advanced options', 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'Ole Automa 阅读全文
posted @ 2017-08-24 10:05
珍惜少年时
阅读(3411)
评论(0)
推荐(0)
摘要:
要用到的两个神器:abd&drozer adb介绍 adb的全称为Android Debug Bridge,就是起到调试桥的作用,作为一名开发者倒是常用到这个工具.借助adb工具,我们可以管理设备或手机模拟器的状态。还可以进行很多手机操作,如安装软件、卸载软件、系统升级、运行shell命令等等。ad 阅读全文
posted @ 2017-08-22 22:26
珍惜少年时
阅读(448)
评论(0)
推荐(0)
摘要:
1、简介: Drozer是一款用于测试android应用程序漏洞的安全评估工具,能够发现多种类型的安全的漏洞,免费版本的相关资源下载地址: https://www.mwrinfosecurity.com/products/drozer/community-edition/ 其中包含了Drozer的使 阅读全文
posted @ 2017-08-22 15:43
珍惜少年时
阅读(697)
评论(0)
推荐(0)
浙公网安备 33010602011771号