不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

web安全 第41页

通过服务器日志溯源定位web应用攻击路径-seo优化_前端开发_渗透技术

通过服务器日志溯源定位web应用攻击路径

hush阅读(510)赞(0)

无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错...

hping3使用指南说明-seo优化_前端开发_渗透技术

hping3使用指南说明

hush阅读(1064)赞(0)

用法: hping3 host [options] -h  –help      显示帮助 -v  –version   显示版本 -c  –count     发送数据包的数目 -i  –i...

实战撸进内网服务器 (Bypass)-seo优化_前端开发_渗透技术

实战撸进内网服务器 (Bypass)

hush阅读(576)赞(0)

本次教程较为基础,打码比较严重,有很多不足的地方,希望各位大佬能够指正。 目标站:http://xxx.com 要求:登录远程桌面 通过 超级ping 检测出网站的IP 直接访问ip ... 通过FOFA Pro View 这个插件可以快速...

记一次内网渗透-seo优化_前端开发_渗透技术

记一次内网渗透

hush阅读(517)赞(0)

前言 首先,这个站点有一个前台getshell的漏洞 根据里面漏洞代码直接取post数据后缀作为后缀这一特性,且CMS支持FTP。 利用FTP上传图片,通过下载上传的正常图片(已被PHP的GD库渲染)之后, 利用脚本在图片中插入payloa...

记某次授权测试-seo优化_前端开发_渗透技术

记某次授权测试

hush阅读(616)赞(0)

前言 记录一下某次的授权测试,过程中也遇到了当时感觉有点坑的东西,细看下来,感觉又是那样的索然无味。 一. 从文件上传到getshell 前台-留言板上传测试: 1. 上传jpg 返回200 url:http://ceshi.com/202...

一次sm4参数加密下的sql盲注-seo优化_前端开发_渗透技术

一次sm4参数加密下的sql盲注

hush阅读(586)赞(0)

0x00 前言 在一次授权渗透测试中,应用在前端使用sql语句拼接方式传送参数,很明显存在sql注入,提交漏洞后,用户大概不想重构项目,于是将前端参数传输前均进行加密,但是通过JS找到加密密钥后,结合py脚本还是注入了;后续用户再次升级将设...

Steghide工具-隐藏文件到图片或音频中-seo优化_前端开发_渗透技术

Steghide工具-隐藏文件到图片或音频中

hush阅读(584)赞(0)

1. 介绍 Kali Linux操作系统通常被一些安全专家和网络罪犯用来做渗透和审计工作,但是除此之外,这里介绍一个另外的特别的功能:将目标文件隐藏到图片或者音频中。(看起来好诱人的样子,有没有跃跃欲试的感觉,^_^) 2. 安装stegh...

提权学习之旅—基础篇-seo优化_前端开发_渗透技术

提权学习之旅—基础篇

hush阅读(502)赞(0)

前言: 无论是CTF赛题还是渗透测试,有很多时候拿到WebShell的权限并不高,没有办法继续深入,所以需要进行提权操作,方便下一步的进行。 基础知识 0x00:什么是提权 提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时...

任意文件读取漏洞-seo优化_前端开发_渗透技术

任意文件读取漏洞

hush阅读(959)赞(0)

漏洞介绍 很多网站由于业务需求,往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。 漏洞存在的地方:...