不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

web安全 第28页

任意文件读取漏洞-seo优化_前端开发_渗透技术

任意文件读取漏洞

hush阅读(978)赞(0)

漏洞介绍 很多网站由于业务需求,往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。 漏洞存在的地方:...

SQL注入思路拓展-seo优化_前端开发_渗透技术

SQL注入思路拓展

hush阅读(568)赞(0)

注入的几个问题 SQL注入所涉及到的东西无非就以下几方面 哪里会经常出现注入 bypass waf 如何快速定位重要数据表 大数据表托数据 注入读写文件 执行命令   哪里经常出现注入 要想利用注入,首先你得挖到一个注入点,在大多...

记一次iis+aspx环境下利用http参数污染绕过waf-seo优化_前端开发_渗透技术

记一次iis+aspx环境下利用http参数污染绕过waf

hush阅读(546)赞(0)

环境介绍 Server: Microsoft-IIS/10.0 X-AspNet-Version: 4.0. waf:某不知名waf 漏洞点情况: 新建模板处,可以直接写入内容到文件: 但是一写入正常的aspx语句就被拦截,连简单的输出语句...

msf构造出shell反弹脚本-seo优化_前端开发_渗透技术

msf构造出shell反弹脚本

hush阅读(1295)赞(0)

Liunx下能够构造shell反弹脚本有很多常见的如bash,netcat、socat以及各种语言,当然今天主要内容是详细介绍msfvenom如何生成shell脚本。 正文 metasploit-framework介绍 Metasploit...

内网渗透之Windows持久化后门总结-seo优化_前端开发_渗透技术

内网渗透之Windows持久化后门总结

hush阅读(1169)赞(0)

1. 隐藏文件 创建系统隐藏文件 attrib +s +a +r +h filename / attrib +s +h filename 利用NTFS ADS (Alternate Data Streams) 创建隐藏文件 利用Window...

内网渗透之windows、linux信息收集-seo优化_前端开发_渗透技术

内网渗透之windows、linux信息收集

hush阅读(783)赞(0)

1. 信息收集 – Windows 1.1. 基本命令 查询所有计算机名称 dsquery computer 查看配置及补丁信息 systeminfo 查看版本 ver 进程信息 tasklist /svc 查看所有环境变量 s...

Vulnhub靶场渗透(JIS-CTF-VulnUpload)-seo优化_前端开发_渗透技术

Vulnhub靶场渗透(JIS-CTF-VulnUpload)

hush阅读(1025)赞(0)

环境介绍~渗透准备一个靶机、两台攻击机。JIS-CTF-VulnUpload靶机、Mac、kali2020VM名称:JIS-CTF:VulnUpload 说明:本机上有五个flag。尝试找到它们。查找所有标志平均需要1.5个小时。 ps:此...

渗透实战之新洞老用-seo优化_前端开发_渗透技术

渗透实战之新洞老用

hush阅读(583)赞(0)

渗透第一步信息收集还是要的哈。 通过Wappalyzer的检测,操作系统以及使用的容器以及框架已经很明白了,不过兼听则明,肯定是要通过其他手段二次确认一下的啦,毕竟这步出错,后面处理起来就很难受了。 直接丢cms识别,得到结果。 三大手段其...

三层网络靶场搭建&MSF内网渗透-seo优化_前端开发_渗透技术

三层网络靶场搭建&MSF内网渗透

hush阅读(643)赞(0)

在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境。本文通过VMware搭建3层网络,并通过msf进行内网渗透,涉及代理搭建,流量转发,端口映射等常见内网渗...