DDoS即分布式拒绝服务攻击,DDoS里面的 DoS是denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个D是 distributed(分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防御。 什么是DDoS攻击? 这是我见过最有趣、最 ...
分类:
其他好文 时间:
2020-07-04 22:38:44
阅读次数:
95
fiddler布局 Ctrl+x : 清除抓包数据 设置备注信息: 把端口作为文件导出 重放功能(快捷键:点住接口按R键) 循环请求(快捷键Shift+R) 又称DDOS攻击 迅速删除其他包数据只保留刚点击的 (快捷键: Shift+Delete) 清除数据包: 断点 流模式 解码 (未完..... ...
分类:
其他好文 时间:
2020-07-04 18:56:32
阅读次数:
89
一、关于冰蝎 1.1 简单介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 由于通信流量被加密,传统的 WAF、ID ...
分类:
其他好文 时间:
2020-07-04 00:58:08
阅读次数:
190
问题 最近我们的一台阿里云服务器 (ECS,有公网IP,Nginx 服务器,开放了80,443),遭受到了DDOS攻击,主要攻击的行为是 攻击我们443 端口。发起大量的请求。 但是我们在 Nginx 层面是做了限制的。只允许部分 IP 访问我们的Nginx (allow ....; deny al ...
分类:
其他好文 时间:
2020-07-01 00:18:46
阅读次数:
100
在HTTP请求头加入:Transfer-Encoding: chunked 之后,就代表这个报文采用了分块编码。这时,post请求报文中的数据部分需要改为用一系列分块来传输。每个分块包含十六进制的长度值和数据,长度值独占一行,长度不包括它结尾的,也不包括分块数据结尾的,且最后需要用0独占一行表示结束 ...
分类:
Web程序 时间:
2020-06-30 14:49:49
阅读次数:
50
###JSP无%%号命令执行一句话 利用场景:WAF 禁止用户上传可执行文件,进行了文件内容判断。 后续自己回来做点其他的版本。 example:http://127.0.0.1/shell.jsp?cmd=whoami win: <jsp:scriptlet> if(\u0072\u0065\u0 ...
分类:
Web程序 时间:
2020-06-20 14:01:02
阅读次数:
83
####BUUCTF-[极客大挑战 2019]BabySQL(联合注入绕过waf) 记一道联合注入的题,这道题存在过滤。 经过手工的测试,网站会检验用户名和密码是否都存在,如果在用户名处插入注入语句,语句后面跟的注符会将密码注释掉,检测不到密码会报错Input your username and p ...
分类:
数据库 时间:
2020-06-13 23:38:20
阅读次数:
113
对于DDOS的攻击,一直属于易攻难守的问题,最近也是在网上看到关于xdp ebpf 比较新颖的处理数据包的解决方案架构,当然也是作为这方面的小白学习一下,由于公司的内核版本较低,暂时无法使用这个功能,不过后续版本迟早也是要升级的, 主要也是了解学习一下相关的设计思想, 希望能够在实际工作生产中有一些 ...
分类:
其他好文 时间:
2020-06-13 20:54:43
阅读次数:
75
[RoarCTF 2019]Easy Calc 进去一个输入框,可进行计算,看代码发现js。 <!--I've set up WAF to ensure security.--> <script> $('#calc').submit(function(){ $.ajax({ url:"calc.ph ...
分类:
其他好文 时间:
2020-06-01 13:52:08
阅读次数:
191
