安全研究
sql绕waf讨论
去年工作分享上做了个绕waf的汇总,现在和大佬们讨论下,新收录点知识,希望大佬们不吝赐教。以下仅作分享,时效性肯定存在问题,有好的思路欢迎分享。写的估计有很多错误,球球大佬们言辞犀利的指出。{:6_440:} 大小写双写http://192.168.188.128:8000/sqli/Less-1/?id=-1' union selselectect 1,2,us
Thinkphp框架的后台模板竞猜(更新中)
目前主流用的比较多的thinkphp框架后台源码哪里有,因为工作需要搜集,比如以下几款,请各位大佬引荐,谢谢!!!!!!thinkAdminFastAdminlayuiAdmin
关于php大马执行cmd命令绕过360全家桶的问题
是这样的,我今天下午自己在家搭建环境练习。发现php大马使用执行cmd命令在(php function)模式下执行命令:start D:/phpStudy/PHPTutorial/WWW/phpcms_v9.6.0_UTF8/install_package/uploadfile/2021/0609/string.exe这个命令360直接拦截 string.exe是我自己免杀的远控(百分百免杀的)。用WS
Java反序列化如何快速审计,原生?组件?
目前好像Java的漏洞主要分两种,一种是因为程序员由于编码不当产生的漏洞,典型包括后门、SQL注入、文件上传、任意文件下载、接口非授权访问、垂直越权、水平越权、XSS、CSRF、逻辑类漏洞这些;一类是第三方组件使用不当产生的漏洞,从POM文件中可以找到使用了低版本的组件。从应用配置文件中可以找到
BurpSuite疑难杂症之解决中文乱码+鼠标光标错位字符无法正常输入的问题
BurpSuite v2021.5破解版、免装java环境,中英双版,高速下载通道介绍+下载地址: https://www.t00ls.com/viewthread.php?tid=60810懒人下载通道:下载地址(已高速)https://cloud.189.cn/t/IF7JBjjMNB7b官方原版:https://portswigger.net/burp/releases(注意:可使用以前的Loader直接破解新版的Bur
AWVS、Nessus 一键启动-停止BAT脚本
目前Nessus 和 AWVS都是以windows服务形式进行启动、关闭的,默认开机自动启动,但是并不是每天工作都要使用这两者,所以设置开机不启动;需要开启时候需要到Windows服务中进行手动启动或者使用DOS命令启动,比较麻烦,参考网上资料弄个脚本来控制Nessus 和 AWVS服务的启动关闭。AWVS、Nessus 一键启动
求教代码审计如何提高效率
大佬们,想问下你们的代码审都是怎么高效率完成任务的?比如Java代码审计,类似业务安全也知道,比如SQL注入、越权、未授权、文件上传、文件下载、XSS和CSRF这些。但总是觉得效率是个问题,想问下大佬们的代码审计都是怎么高效率完成任务的?
请教JSP文件上传bypass waf
当前情况:上传点:个人信息头像限制: 黑名单 (已经绕过)上传的文件是可以解析的但是waf内容检测,非常严格下图这种都直接不让传也试过很多方法:1.辣鸡字符填充(无效)2.超长文件名,文件头,请求头(无效)3.各种passwaf的马子,很显然,上图都无法上传,马子就更别说了,像无%%一句话都试了(无
![[Cheetah语言]两个小工具让你的Cheetah更加健壮](https://www.t00ls.com/attachments/month_2103/21031801346fa7b5df15690368.jpg)
[Cheetah语言]两个小工具让你的Cheetah更加健壮
两个小工具让你的Cheetah更加健壮Windows注册服务你是否因为不能随处存储wker脚本而感到烦恼,总是看到白白的一个文件图标感到反感,那么这个小工具可以帮助你解决这个问题。首先需要先下载Cheetah注册服务(Windows).exe程序,是一个鸣人的图标,这个小程序可以帮助你的wker脚本随处可以用。首先我们打
分享一个不错的浏览器插件penetration testing kit
官网:https://denispodgurskii.github.io/pentestkit/release_notes.html项目地址:https://github.com/DenisPodgurskii/pentestkit3月份更新了,新版本增加了waf识别和jwt自动解码注意:最好使用新版本的浏览器,旧版本浏览器的显示有问题,chrome和firefox插件中心似乎还没同步更新,以chrome为例,
