hush的文章

2022-03-06hush阅读(112)赞(0)

SQL 注入 (SQLi) 是一种可以访问敏感或私有数据的隐蔽攻击形式，它们最早是在上世纪末被发现的，尽管它们的年龄很大，但它们经常被用作黑客工具包中的一种有效技术。今天，给大家介绍一下顶级 SQLi 检测工具。 顶级 SQLi 检测工具 ...

2022-03-03hush阅读(112)赞(0)

1.1 前言 最近在挖补天的src，然后挖出了不少SQL注入，完了出了数据库名就不管那么多提交了。今天挖了个报错注入的，突然一激灵，说我不能这样颓废下去了，刚好是个后台登录的界面，我决心要登进它的后台。      2.1 注入测试 bp抓包...

2022-03-02hush阅读(118)赞(0)

0x01 遇到一个网站，测试功能点http://xxx.com/news.php=3和news?=4-1页面相同，和4-2不同，判断存在注入，尝试注入， 可是有D盾 尝试用&&绕过，成功，这里注意要进行URL编码，因为&am...

2022-03-02hush阅读(164)赞(0)

1、杀毒原理 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等，这几个杀毒软件领头羊，现在的杀毒软件都无法脱离三个部分，扫描器、病毒库、虚拟机。然而一个杀毒软件做的是否好用，最主要的还是扫描器的速度、准确率以及病毒库是否庞大。 1.1、基于...

2022-03-01hush阅读(151)赞(0)

前言 这是我一次项目中遇到的一个order by注入，因为发现确实需要点眼力，所以我记录下来，并且自己把流程写了出来。 代码实现 我用了上面截图的一小段代码去实现这个流程。 漏洞探测   下面我放了三个图，分别是order by ...

2022-02-28hush阅读(137)赞(0)

FakeLogonScreen 是一个伪造 Windows 登录屏幕以获取用户密码的实用程序。输入的密码将根据 Active Directory 或本地计算机进行验证，以确保其正确，然后显示到控制台或保存到磁盘。 它可以通过简单地运行 .e...

2022-02-27hush阅读(136)赞(0)

1.apache apache文件多后缀名解析漏洞 与其说这是一个漏洞，不如说这是一个特性，很多程序员不知道这种特性，所以会写出有问题的代码。 特性：多后缀名(全版本都有这个特性） apache在解析一个文件的后缀名时，是从右往左解析后缀名...

2022-02-25hush阅读(153)赞(0)

逻辑漏洞+编辑器0day=getshell+内网漫游 又是一个深夜，记录前段时间测试的过程。唉，每次小有所学就要懈怠一会。全文高强度打码。 0x00 一个登录框 使用google hacking语法，翻了一翻，锁定了目标范围内一个看起来普普...

2022-02-24hush阅读(152)赞(0)

Python 开发者们在使用标准库和通用框架时，都以为自己的程序具有可靠的安全性。然而，在 Python 中，就像在任何其它编程语言中一样，有一些特性可能会被开发者们误解或误用。通常而言，只有极少的微妙之处或细节会使开发者们疏忽大意，从而在...

2022-02-23hush阅读(134)赞(0)

1.1 前言 最近在挖补天的src，然后挖出了不少SQL注入，完了出了数据库名就不管那么多提交了。今天挖了个报错注入的，突然一激灵，说我不能这样颓废下去了，刚好是个后台登录的界面，我决心要登进它的后台。      2.1 注入测试 bp抓包...