moctf 没时间解释了 条件竞争漏洞 "题目链接" 条件竞争: 在本题目中,上传文件的时候服务器无条件的接收任何类型的文件,但是你上传之后服务器会给你的文件内容修改为too slow。 比如你上传了一句话木马shell.php,内容,可以直接上传,但是马上内容会被修改为too slow 方法: 修 ...
分类:
其他好文 时间:
2018-11-07 17:16:00
阅读次数:
636
解析漏洞 (1)IIS解析漏洞 ①当建立一个*.asa、*.asp格式的文件夹时,这个文件夹里的任意文件都会被当做asp文件来执行。 如果我们上传一个txt文件,文件内容是asp一句话木马,一句话木马将会被解析,造成危害。 ②当文件为*.asp;1.jpg时,IIS6.0同样会以ASP脚本来执行。 ...
分类:
Web程序 时间:
2018-11-01 22:29:06
阅读次数:
218
0x00 环境准备 MIPCMS官网:https://www.mipcms.cn 网站源码版本:MIPCMS内容管理系统 V3.1.0(发布时间:2018-01-01) 程序源码下载:http://www.mipcms.cn/mipcms-3.1.0.zip 本地测试网站: 0x01 代码分析 1、 ...
分类:
系统相关 时间:
2018-10-28 14:58:23
阅读次数:
177
一、标准ASPX一句话木马 .NET平台下的一句话木马则百年不变,最常见的当属下面这句 想必这句话已经成大多数防御产品的标准样本,除此以外还有上传文件的一句话,像这种的从严格意义上不能算是一句话木马,只是一个简单的上传文件的功能,实际的操作还是大马或者小马的操作行为。 二、ASHX一句话木马 ash ...
分类:
其他好文 时间:
2018-10-26 14:20:53
阅读次数:
338
黑客专用多功能记事本功能非常强大,适合各大黑阔做教程时使用。 软件功能:集成了记事本所有功能,此记事本不是一般的普通记事本,他可以添加图片,添加网站后可以双击打开等功能。入侵常用命令,在线翻译,辅助功能有MD5解密,常用网站查询等。社工辅助,IP代理网站,一句话木马等。通用工具有电脑上的控制面板所有 ...
分类:
其他好文 时间:
2018-08-25 00:41:17
阅读次数:
377
IIS6.0解析漏洞 在IIS6.0下存在这样的文件“ 名字.asp;名字.jpg ” 代表了 jpg 文件可以以 asp 脚本类型的文件执行。 根据这个解析漏洞我们可以上传这种名字类型的图片,比如 1.asp;xxx.jpg 他会忽略;后边的内容,所以文件相当于1.asp asp一句话木马 <%e ...
分类:
Web程序 时间:
2018-07-28 15:15:41
阅读次数:
219
一句话木马的原理即可以执行传递上来变量的内容,变量名称即“一句话密码”,变量内容即后门执行代码,内容可以是list文件、上传及下载文件、数据库操作等等。 这类后门通常只一行代码,因此可以随意插入web站点的正常文件而并不影响原本代码的执行,甚至与正常图片的结合可以形成“图片马”。体积小,隐蔽性强是一 ...
分类:
其他好文 时间:
2018-07-22 12:57:18
阅读次数:
130
一打开网址,可以看出应该是文件上传漏洞,查看源码,也有可能是文件包含 上传个图片,成功,然后上传一句话木马 通过bp进行上传绕过 , 开始菜刀连接http://e00b6eca3c9c4e14a31cf6ce409fab9006d33f25aeda472e.game.ichunqiu.com/upl ...
分类:
其他好文 时间:
2018-07-14 20:37:05
阅读次数:
959
前言: 本人(九世)正式从博客园:迁移到:http://hackhat.net。会进行同步更新 正文: 漏洞来源: 文件包含漏洞,得从文件包含说起。一般写代码的人都知道,完成一个项目里面有很多的文件调用和引用 而文件包含漏洞,因为文件包含的时候没有做对应的防御措施导致引用的文件变成攻击者所指定的文件 ...
分类:
其他好文 时间:
2018-06-30 19:48:47
阅读次数:
1001
Sun May 20 2018 08:00:00 GMT+0800 (中国标准时间) 1:什么是SQL注入 SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析并执行。 这里我们来理解一下SQL注入 首先,SQL注入常年蝉联OWAS ...
分类:
其他好文 时间:
2018-05-20 18:11:47
阅读次数:
214