web安全 第11页

2022-05-10hush阅读(103)赞(0)

“ 摸瓜是一款免费的在线安卓apk反编译神器，支持域名、ip、邮箱、手机号的自动提取，可在线查看反编译后的java源代码等。笔者使用摸瓜有段时间了，体验非常好，不管你有没有APK反编译基础都能使用。可以说已经完全替代了apktool三件套，...

2022-05-09hush阅读(82)赞(0)

前言 在渗透测试的很多时候，我们可能都得不到数据的回显。由于得不到数据的回显，我们就无法进一步判断我们渗透测试的结果。所以本文告诉大家，在没有回显的时候，我们又该如何测试。 1.利用ping ping `命令`.dnslog 有很多免费的d...

2022-05-08hush阅读(84)赞(0)

大家都知道webshell的执行分为数据输入、数据传递、数据执行三个阶段，目前可以查阅的资料大多数都是在数据传输和数据执行阶段的绕过，在数据传输阶段的绕过极少，因为通常用来进行数据传输的GET、POST、REQUEST、COOKIE、SES...

2022-05-06hush阅读(67)赞(0)

介绍         跨站点脚本 (XSS) 是最常见的 Web 应用程序漏洞之一。它可以通过清理用户输入、基于上下文转义输出、正确使用文档对象模型 (DOM) 接收器和源、执行正确的跨源资源共享 (CORS) 策略和其他安全实践来完全防止...

2022-05-05hush阅读(80)赞(0)

目录 1. Nmap (Network Mapper) 网络映射器 2. Nessus 3. Nikto 4. Kismet 5. NetStumbler 6. Acunetix 7. Netsparker 网络火花 8. Intruder...

2022-04-30hush阅读(109)赞(0)

一.起 进入登陆界面 然后直接弱密码admin/admin，成功进入后台 然后开始到处寻找可利用的点，于是找到了文件上传的点 然后bp抓包，上传一句话木马，发现只是一个简单的前端过滤 然后上传成功，返回了一个路径 访问路径发现已经成功了 二...

2022-04-29hush阅读(83)赞(0)

起因：夜黑风高的晚上内卷中，某大佬发了一张图过来。 1. 大佬来吊我： 2. 通过一番交流，他将phpinfo给了我： 接着看了一下问题：   Disable_functions函数： 3. 看丑恶的嘴脸： 4. 又沟通了一下，上...

2022-04-28hush阅读(96)赞(0)

对于MSF生成的shellcode都是一样的~ 所以从代码层面来讲来说，不论是什么语言的实现，最后的代码实现的逻辑都是一样的，由于对于java并不了解，但听懂了课堂代码的逻辑，就是先循环饶了了几次然后再建立连接小马拉大马，后参考了群里其他同...

2022-04-27hush阅读(103)赞(0)

0x01 前言 之前偶尔会遇到站库分离数据库不出网&没有Webshell的情况，只有一个可以执行命令的shell，这种情况下如果想进行横向只能通过数据库来落地我们的工具。 注：文中只是为了演示数据库如何落地exe，可能部分环境过于理...

2022-04-22hush阅读(96)赞(0)

在您的 wordpress 服务器上执行 shell 命令。上传的 shell 可能会在 <your-host>/wp-content/plugins/shell/shell.php 安装 要安装 shell，我们假设您拥有 W...