web安全 第19页

2021-11-06hush阅读(202)赞(0)

如今各式各样的Windows漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵，这可给我们的网管带来了很大的麻烦，虽然经过精心配置的服务器可以抵御大部分入侵，但随着不断新出的漏洞，再高明的网...

2021-11-05hush阅读(233)赞(0)

前言 当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 — 进程伪装。 我们知道在windows里面有很多系统...

2021-11-04hush阅读(243)赞(0)

写在前面 这篇文章主要是通过前端JS来寻找接口进行测试，寻找漏洞成功进入后台后，进行后台文件上传html。仅供学习。 过程 前端JS进入后台 某日拿到授权站点，开始漫长的信息收集…… 收集了许久，找到了一个后台，可惜用了许多方法都无法渗透进...

2021-11-04hush阅读(238)赞(0)

开局一个Webshell，先进行简单的信息搜集，查看当前权限，正常的iis权限。 查看版本 wmic OS get Caption,CSDVersion,OSArchitecture,Version 查看软件 wmic product ge...

2021-11-03hush阅读(230)赞(0)

0x01 前言 上周在先知社区看到@Xgstar师傅写的《SQLserver写Webshell总结-突破中文路径》文章中提到一个利用批处理写Webshell至中文路径的思路，但最后他并没有成功利用这个思路写入Webshell。 因为之前也写...

2021-10-27hush阅读(226)赞(0)

最近一段时间，我们SINE安全公司一连接到数十个公司网站被跳转到彩票，博彩网 站上去，客户反映从百度搜索网站进去，直接跳转到彩票网站上，直接输入网址没有跳转， 导致客户网站的流量急剧下滑，做的百度推广跟搜狗推广，都给彩票网站做广告了，公司领...

2021-10-22hush阅读(251)赞(0)

我经常听到朋友问，是否有更好的Web日志安全性分析工具？ 首先，我们应该清楚的是，日志文件不仅可以帮助我们追踪入侵者的来源并找到其攻击路径，而且在正常的操作和维护中，日志还可以反映出许多安全攻击。 一个简单易用的Web日志分析工具可以大大提...

2021-10-20hush阅读(254)赞(0)

0x01 前言 某锁/某神/某狗的“远程桌面登录防护”都有多种绕过方式，但在这里为了避免与第3章有过多重复内容，所以每篇都只写了一种绕过姿势，关于更多WAF软件的计算机名和IP认证的绕过方式可参考第3章。 0x02 某锁计算机名认证绕过 症...

2021-10-19hush阅读(231)赞(0)

前言： 本篇将讲述PHP函数以及对象在使用过程中经常出现的错误，通过一个个小实验纠正这些错误，并且从安全的角度出发，利用这些可能存在的错误，捕获这些异常，甚至完成RCE操作。 脸滚键盘打出来的函数也能执行？ 没错，该部分内容如上方小标题所示...

2021-10-19hush阅读(267)赞(0)

File Upload 一、原理 一些web应用程序中允许上传图片，文本或者其他资源到指定的位置。 文件上传漏洞就是利用网页代码中的文件上传路径变量过滤不严将可执行的文件上传到一个到服务器中，再通过URL去访问以执行恶意代码。 二、检测与绕...