什么是DDoS攻击 DDoS攻击是Distributed Denial of Service的缩写,翻译成中文就是分布式拒绝服务。即不法黑客组织通过控制服务器等资源,发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标的攻击,致使目标服务器断网,最终停止提供服务。 举个栗子,我 ...
分类:
其他好文 时间:
2020-02-09 18:15:16
阅读次数:
76
分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞、资源耗尽从而不能为正常用户提供正常服务的攻击手段。随着互联网带宽的增加和相关工具的不断发布,这种攻击的实施难度越来越低,有大量IDC托管机房、商业站点、游戏服务商一直饱受DDoS攻击的困扰,那么如 ...
分类:
其他好文 时间:
2020-02-09 18:13:30
阅读次数:
59
目录: (1)easy_calc 题目解析: easy_calc 涉及 知识点: (1)php字符串解析特性绕过WAF (2)HTTP请求走私攻击 再贴一个学习链接 (3)取反操作 ~%D1 == '.' (46+209=255) ~$D0 == '/' (47+208=255) 其余ascii码类 ...
分类:
其他好文 时间:
2020-02-07 17:11:28
阅读次数:
113
继续补sqli的题 这道题与之前的题的区别是在第二部分中加了一道waf,所以需要特殊的手段来进行注入。 题目来源:http://123.206.87.240:9004/1ndex.php?id=1 第一部分 通过改变id值我们可以看页面内容的变化。5时提醒可以注入,6以后开始报error: 构造1:... ...
分类:
其他好文 时间:
2020-02-06 13:02:46
阅读次数:
100
WAF Web Application Firewall的缩写为“WAF”,中文意思“Web应用防火墙”,也称“网站应用级入侵防御系统”。WAF是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。 WAF部署在web服务器前面,串行接入,主要技术是对入侵的检测能力,尤其是对W ...
分类:
其他好文 时间:
2020-02-03 13:36:52
阅读次数:
104
Waf绕过可大致分为三类: 1.白盒绕过 2. 黑盒绕过 3. fuzz测试 less 25 法一 union 双写绕过过滤 http://192.168.50.100/sqli/Less-25/?id=1 http://192.168.50.100/sqli/Less-25/?id=1' http ...
分类:
数据库 时间:
2020-01-28 23:01:33
阅读次数:
79
Less-29 可以从介绍上看出,第29关被称为世界上最好的WAF,网上许多讲解的办法就是和第一关差不多,其实是不对的。 sqli-labs文件夹下面还有tomcat文件,这才是真正的less,里面的jspstudy需要搭建环境jspstudy:https://www.xp.cn/download. ...
分类:
数据库 时间:
2020-01-27 15:19:00
阅读次数:
153
信息搜集的方式 dns搜集,敏感目录,端口检测,谷歌语法,子域探测,旁站探测,c段查询,整站识别,waf探测,工具网站 dns搜集(dns作用是通过域名解析到ip)站长工具(whois查询) 敏感目录搜集 目录有mysql管理接口,后台目录,上传目录,phpinfo,ro'bots.txt,安装包, ...
分类:
其他好文 时间:
2020-01-26 20:41:45
阅读次数:
84
0x0前言 图片大小相关参数可控导致ddos=>影响服务端对图片处理的参数可控,进而可通过修改参数导致服务端分配大量资源处理图片,造成ddos效果 在测试公益src的一个厂商的头像上传功能时没有发现任意文件上传但是发现了这个蛮典型的伪ddos案例 0x1漏洞细节 漏洞点:个人账号头像设置 分析: 1 ...
分类:
其他好文 时间:
2020-01-26 16:02:15
阅读次数:
109
less-25 前置基础知识:后面的关卡涉及到WAF绕过: 主要有三种方式:白盒绕过、黑盒绕过、fuzz测试 网上sql注入WAF绕过的教程有很多,可以自己查询,总之就是比谁思路猥琐 根据第25关下面的提示和代码,我们发现他对or和and(不区分大小写)转义成了空格 第一种办法: 采用双写的方式 这 ...
分类:
数据库 时间:
2020-01-25 23:33:19
阅读次数:
100
