hush的文章

2021-09-02hush阅读(339)赞(0)

正文 python的 -c 可以在命令行中调用 python 代码, 实际上 -c 就是 command 的意思 官方文档中解释为(节选自: python docs): Execute the Python code in command....

2021-08-25hush阅读(390)赞(0)

先用usb链接手机 启动要查看的程序，命令查看当前运行的包名和Activity更清晰。 使用adb shell dumpsys window | findstr mCurrentFocus  命令查看当前运行的包名和Activity更清晰。...

2021-08-25hush阅读(319)赞(0)

adb server version (41) doesn’t match this client (39); killing… – 链接不上夜神模拟器提示adb版本不符 List of devices ...

2021-08-24hush阅读(643)赞(0)

1 前言 WAF(Web Application Firewall)对于从事信息安全领域的工作者来说并不陌生，在渗透测试一个目标的时候常常作为拦路虎让人头痛不已，笔者这段时间花了些精力对国内外比较常见的WAF进行了绕过研究，这只拦路虎其实也...

2021-08-23hush阅读(661)赞(0)

Waf分类： WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的；嵌入型指的是web容器模块类型WAF、代码层WAF。 Waf工作模式： 关闭模式：对某个站点使用关闭模式，到这个站点的流量就感受不到...

2021-08-23hush阅读(595)赞(0)

简介 JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持ser...

2021-08-22hush阅读(631)赞(0)

知己知彼，百战不殆 1、如果提示缺少参数，如{msg：params error}，可尝使用字典模糊测试构造参数，进一步攻击。 2、程序溢出，int最大值为2147483647，可尝试使用该值进行整数溢出，观察现象。 3、403，404响应不...

2021-08-21hush阅读(317)赞(0)

前言 已经检测出该网站有sql注入问题，试着手工注入网站，顺便再复习一下。 01 正文 1.先通过引号 判断该网站为数字型，payload直接拼接，无需引号闭合，当网站后直接构造拼接 and 0# 网站文章列表内容受到影响显示空白，此为回显...

2021-08-20hush阅读(584)赞(0)

目录： 一、杀软常见的三种方式 二、免杀的三种常用方式 三、利用工具实现免杀 1、veil工具基础实现免杀+进阶 2、venom免杀 3、利用kali自带的shellter进行免杀 4、利用avet实现免杀 四、利用源码编译+加载器加载代码...

2021-08-20hush阅读(328)赞(0)

随着小程序数量的爆发式增长，其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧，总结下微信小程序安全测试的思路。 1、小程序解包（反编译） （1）安装手机模拟器，比如说夜神、MuMu （2）下载和安装两个应用，微...