安全研究
大家快来看,这种伪静态网页存在SQL注入吗?
原网页是这样的:在数字前面加个单引号就报错:但是在数字后面加单引号没影响:在加上单引号和其他数字,就相当于单引号后面的都被注释了一样,没影响这种应该如何注入?
大家快来看,这个是远程文件包含吗?我瞅着不像。
他的网站原型是这样的链接,用来判断用户登录的。我输入一个远程图片地址,好像直接用echo 输出乱码了。然后我放了一个exe程序,也给我输出来了。不知道什么原理。接着放一个phpinfo.txt 就没任何反应了。。求大佬解疑惑!
最新版360已经拦截netapi加用户了。
最新版360已经拦截netapi加用户了。源码:#ifndef UNICODE #define UNICODE #endif #include <stdio.h> #include <windows.h> #include <lm.h> #include <iostream>#pragma comment(lib,"netapi32") int Usage(wchar_t*);int wmain(int argc, wchar_t* argv[]){// 定义USER_INFO_1结
showdoc 求思路
showdoc 源码地址https://github.com/star7th/showdoc之前的旧版本有上传漏洞,详见 https://github.com/star7th/showdoc/pull/1059https://www.t00ls.com/thread-56340-1-1.html后来的新版本上传文件都是使用Api里面的控制器,本地测试无果,此程序生产环境都是linux+nginx, 所以能上传phtml不解析,数据
sql绕waf讨论
去年工作分享上做了个绕waf的汇总,现在和大佬们讨论下,新收录点知识,希望大佬们不吝赐教。以下仅作分享,时效性肯定存在问题,有好的思路欢迎分享。写的估计有很多错误,球球大佬们言辞犀利的指出。{:6_440:} 大小写双写http://192.168.188.128:8000/sqli/Less-1/?id=-1' union selselectect 1,2,us
Thinkphp框架的后台模板竞猜(更新中)
目前主流用的比较多的thinkphp框架后台源码哪里有,因为工作需要搜集,比如以下几款,请各位大佬引荐,谢谢!!!!!!thinkAdminFastAdminlayuiAdmin
关于php大马执行cmd命令绕过360全家桶的问题
是这样的,我今天下午自己在家搭建环境练习。发现php大马使用执行cmd命令在(php function)模式下执行命令:start D:/phpStudy/PHPTutorial/WWW/phpcms_v9.6.0_UTF8/install_package/uploadfile/2021/0609/string.exe这个命令360直接拦截 string.exe是我自己免杀的远控(百分百免杀的)。用WS
Java反序列化如何快速审计,原生?组件?
目前好像Java的漏洞主要分两种,一种是因为程序员由于编码不当产生的漏洞,典型包括后门、SQL注入、文件上传、任意文件下载、接口非授权访问、垂直越权、水平越权、XSS、CSRF、逻辑类漏洞这些;一类是第三方组件使用不当产生的漏洞,从POM文件中可以找到使用了低版本的组件。从应用配置文件中可以找到
BurpSuite疑难杂症之解决中文乱码+鼠标光标错位字符无法正常输入的问题
BurpSuite v2021.5破解版、免装java环境,中英双版,高速下载通道介绍+下载地址: https://www.t00ls.com/viewthread.php?tid=60810懒人下载通道:下载地址(已高速)https://cloud.189.cn/t/IF7JBjjMNB7b官方原版:https://portswigger.net/burp/releases(注意:可使用以前的Loader直接破解新版的Bur
AWVS、Nessus 一键启动-停止BAT脚本
目前Nessus 和 AWVS都是以windows服务形式进行启动、关闭的,默认开机自动启动,但是并不是每天工作都要使用这两者,所以设置开机不启动;需要开启时候需要到Windows服务中进行手动启动或者使用DOS命令启动,比较麻烦,参考网上资料弄个脚本来控制Nessus 和 AWVS服务的启动关闭。AWVS、Nessus 一键启动