文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及 ...
分类:
Web程序 时间:
2017-12-07 22:42:59
阅读次数:
2128
Meatsploit介绍 Metasploit是一款优秀的开源(!= 完全免费)渗透测试框架平台,在该平台下可以方便的实施渗透测试,Meatsploit具有繁多的接口、模块等等,甚至允许用户自己编写自己的模块使用。在Metasploit框架下可以方便的实现木马的生成、捆绑、免杀。实验楼网站存在此节课 ...
分类:
Web程序 时间:
2017-12-07 00:45:29
阅读次数:
1682
http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍) http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0 综合学习平台: http://edu.gooann.com/ 谷安网校 ht ...
分类:
Web程序 时间:
2017-12-03 16:28:41
阅读次数:
279
P1913 L国的战斗之伞兵 P1913 L国的战斗之伞兵 P1913 L国的战斗之伞兵 题目背景 L国即将与I国发动战争!! 题目描述 为了在敌国渗透作战,指挥官决定:派出伞兵前往敌国!然而敌国的风十分强烈,能让伞兵在同一高度不停转悠,直到被刮到一个无风区……(可怜的小兵) 输入输出格式 输入格式 ...
分类:
其他好文 时间:
2017-12-01 21:58:04
阅读次数:
155
以前做渗透测试,遇到过很多次POST数据为JSON数据的CSRF,一直没有搞定,最近发现一个新姿势, ???本文作者:Mannix@安全文库 微信公众号:安全文库 测试的时候,当应用程序验证了Content-type和data format,这种新姿势依然可以可以使用flash和307重定向来实现J ...
分类:
Web程序 时间:
2017-12-01 11:24:27
阅读次数:
402
[摘要] 小迪渗透第13期视频第五天学习笔记,魔术引号magic_quotes_gpc变量、addslashes()函数,数字型注入、字符型注入、搜索型注入。 ...
分类:
Web程序 时间:
2017-11-27 23:24:06
阅读次数:
169
[摘要] 小迪渗透第13期视频第四天学习笔记,mysql5新的注入函数,information_schema.schemata表,数据库长度、库名猜解,文件读取,文件写入,网站路径获取方式 ...
分类:
数据库 时间:
2017-11-27 20:01:42
阅读次数:
190
[摘要] 小迪渗透第13期视频第三天学习笔记,php+mysql5,常用注入函数,5.0及以上版本information_schema库利用,注入产生的原因和修复建议 ...
分类:
数据库 时间:
2017-11-27 13:28:09
阅读次数:
140
大家总是问一个错误的问题:“我应该学习C++还是Java?”在本文中,我将告诉大伙儿:对于选择编程生涯真正需要关注的是哪些问题。请注意,这篇文章的目标读者并不是那些已经做出自己选择的人。(对于这些人而言)你会继续自己的编程生涯,而不管别人会怎么说。因为它已经渗透到你的血液中,你已经无法摆脱。你已经知 ...
分类:
其他好文 时间:
2017-11-25 17:33:23
阅读次数:
123
本文作者:i春秋作家——whoamiecho 前言 好久没认真的写过渗透过程了,这次来个长篇一点的,我尽量语言生动点,过程还蛮有意思的,大家看着玩吧。文章已做脱密处理,关键URL用******代替,截图已做专业打码。旨在技术交流。 事情的起因还不得不提到躺在硬盘中好几个月的沉甸甸的包裹着Active ...
分类:
其他好文 时间:
2017-11-24 18:04:22
阅读次数:
144