欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 关于“入侵检测”的一些想法
  • 离开长沙的时候写了一篇文章“左右互博:站在攻击者的角度来做防护”(freebuf上可以找到),一晃已经是三年了。这三年接触了很多东西,自己也有过很多想法,但实际上去做的却很少。花了很多时间,做了一款插件化的漏......
  • 所属分类:网站安全 更新时间:2018-06-13 相关标签: 阅读全文...
  • 不包含数字字母的WebShell
  • 一、使用异或 ^ 运算 '%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); // $_='assert'; $__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST'; $___=$$__; $_($......
  • 所属分类:网站安全 更新时间:2018-06-05 相关标签: 阅读全文...
  • 简单分析SQL注入语义分析库Libinjection
  • 一、前言 这次主要讲开源SQL注入语义分析库libinjection,如果有发现其他开源SQL语义分析库的欢迎告知。libinjection的程序分析由Simon友情提供,需要看完整报告的可以加群看。 二、libinjection程序分析 从流......
  • 所属分类:网站安全 更新时间:2018-05-14 相关标签: 阅读全文...
  • 记一次渗透测试过程中的Zabbix命令执行利用
  • Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。管理员在安装配置Zabbix过程中,使用了弱口令或默认的用户名与口令(Admin/zabbix),这样,Zabbix服务器的用户认证就形同虚设......
  • 所属分类:网站安全 更新时间:2018-04-19 相关标签: 阅读全文...
  • C0594组织恶意挖矿攻击,已攻陷数千个网站
  • 0×1 概况 腾讯御见威胁情报中心近期监测发现,包括传统企业、互联网公司、学校和政府机构等在内的多个网站网页被植入挖矿JS脚本。经分析,该批站点中的核心JS文件被注入恶意代码,通过请求同一个脚本文件(http(:......
  • 所属分类:网站安全 更新时间:2018-04-11 相关标签: 阅读全文...
  • 关于Sql注入以及Burpsuite Intruders使用的一些浅浅的见解
  • 最近一直在看关于SQL注入的一些文章,因为很多不懂所以看的比较慢,看的过程中中遇到了很多问题,但是静下心来细细品味一下,发现sql注入还是很有意思的!昨晚在看一篇sql注入的文章是遇到了一个新的问题就是利用bp ......
  • 所属分类:网站安全 更新时间:2018-04-05 相关标签: 阅读全文...
  • 用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透
  • 一、工具 鱼竿: 基于golang语言的CHAOS远程后门(作者是巴西的开源爱好者) https://github.com/tiagorlampert/CHAOS 鱼钩: ngrok(可以利用github账号登陆注册) https://ngrok.com/ 鱼饵: 洋葱路由 (......
  • 所属分类:网站安全 更新时间:2018-04-03 相关标签: 阅读全文...
  • 跟心仪的妹子玩游戏误入博彩APP,顺手破了个案
  • 一、前言 过年回家饭局上碰到一个原来心仪的妹子,虽然已经4、5年没见面了,妹子见到我还是分外亲热,不仅主动挨着我坐着,居然还邀请我一起玩游戏,心中窃喜不已,哥们王者刚上了王者星耀,先好好炫一下技术,然后......
  • 所属分类:网站安全 更新时间:2018-03-27 相关标签: 阅读全文...
  • 超详细SQLMap使用攻略及技巧分享
  • sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操......
  • 所属分类:网站安全 更新时间:2018-03-19 相关标签: 阅读全文...
  • WAF开发之Cookie安全防护
  • 一、前言 Cookie安全防护功能主要实现以下两个目标 1、防止XSS攻击盗取用户Cookie 2、防止基于Cookie的SQL注入\命令注入\其他乱七八糟的攻击 优点 1、安全(有破解思路麻烦告知) 2、通用 3、配置简单 缺点 1......
  • 所属分类:网站安全 更新时间:2018-03-09 相关标签: 阅读全文...
  • 一次无聊的尝试(老套的钓鱼方式+python)
  • #1钓鱼网站De mo 钓鱼网站使用python+html写的简单的De mo(不吹不黑一个真真正正的Demo),用的Python中的web. py,恩,web. py的作者自杀了。为什么我会这么想?没安装的同学 可以尝试 安装一下下。Ok,长话短说,......
  • 所属分类:网站安全 更新时间:2018-03-07 相关标签: 阅读全文...
  • 怎么样使用Python CGIHTTPServer躲避开CSRF tokens实现SQL注入
  • 一、媒介 在Burp上,咱们能够应用多种方法来设置装备摆设宏(macro),以绕过HTML表单上的CSRF tokens,这样一来,咱们就能够应用Burp Active Scans、Burp Intruder、Burp Repeater,乃至也能够应用Burp Proxy停止渗......
  • 所属分类:网站安全 更新时间:2017-10-18 相关标签: 阅读全文...
  • 某次通过数据信息的搜集追踪到入侵网站的黑客庐山真面目
  • 本日下昼 一名罩我的大表哥说他们网站被入侵攻击黑掉了, 不单单是某一个页面 所有的页面,都变成为了黑客挂上的“黑页” 造成为了极大的影响,叫我来帮他们找找是谁黑的。看了看,呵呵 你他妈黑哪一个不好黑GOV 黑了交......
  • 所属分类:网站安全 更新时间:2017-09-28 相关标签: 阅读全文...
  • 看看俺是怎样利用CSRF拿下Shell滴
  • 织梦内容管理系统平台(DedeCms) 以简单、实用、开源而闻名,是国内最闻名的PHP开源网站管理系统平台,也是运用用户最多的PHP类CMS系统平台,在阅历多年的开展,目前的版本不管在功用,还是在易用性方面,都有了长足的......
  • 所属分类:网站安全 更新时间:2017-09-22 相关标签: 阅读全文...
  • 一对一告诉你怎样做好Ruby ERB模板的注入检测
  • 如今的Web应用中,很多客户端和办事器端经常会用到模板。很多模板引擎供给了多种分歧的编程语言实现,好比Smarty、Mako、Jinja2、Jade、Velocity、Freemaker和Twig等模板。作为注入入侵攻击人人族中的一员,模板注入......
  • 所属分类:网站安全 更新时间:2017-09-18 相关标签: 阅读全文...
  • 数据库备份拿webshell简略记载
  • 数据库备份拿webshell重要条件是能进入到应用体系后盾,并且有数据库备份功效(有点空话了)! 当咱们设法主意设法主意进入到一个体系后盾以后,本认为找一个文件上传的地方来上传一个webshell,然则上传点倒是限定......
  • 所属分类:网站安全 更新时间:2017-09-03 相关标签: 阅读全文...
  • SQL注入之mysql显示错误的注入分析
  • 在咱们现实渗入渗出中,明显发明一个注入点,本认为丢给sqlmap就能够了,成果sqlmap只表现确实是注入点,然则数据库却获得不了,如图1所示,这时候咱们能够应用手工停止注入,断定出过滤规矩和根本过滤环境,然后再抉......
  • 所属分类:网站安全 更新时间:2017-09-03 相关标签: 阅读全文...
  • mysql手工注入
  • information_schema SQL基础 1.1 什么是sql? SQL(structured query language),即结构化查询语言,是关系数据库的标准语言,SQL是一个通用的、功能强大的关系数据库语言,但其功能并不仅仅是查询。 1.2 mys......
  • 所属分类:网站安全 更新时间:2017-09-03 相关标签: 阅读全文...
  • SQL注入漏洞挖掘Oracle Advanced Support系统
  • 365天之前我在某个客户的一个外部环境中执行入侵渗透测试,任何外部环境渗透测试的重要步骤之一就是挖掘出可访问的WEB服务。nmap和EveWitness的结合会令这步骤变得更快,因为我们可以进行端口扫描 并且把这些结果以屏......
  • 所属分类:网站安全 更新时间:2017-08-31 相关标签: 阅读全文...
  • 记一次曲折的Getshell过程
  • 最近在挖某框架的漏洞,其中挖到一枚Getshell,挖的过程有点曲折感觉可以写篇文章总结一下,方便与各位大牛交流交流。 因为此框架有大量用户,并且此漏洞并未修复,故此隐去所有有关此框架的信息,连文章中出现的代......
  • 所属分类:网站安全 更新时间:2017-08-26 相关标签: 阅读全文...
  • 网站安全之黑客的探路狗ReconDog网站信息探测收集工具
  • econ Dog是您所有基本信息收集需求的工具的集合。它使用API​​来收集所有信息,以使您的身份不被暴露。 这个想法很不错,大家可以试试,如果手头里有资源可以尝试购买一台vps去搭建一些这样的站点 工具下......
  • 所属分类:网站安全 更新时间:2017-08-23 相关标签: 阅读全文...
  • Fuzzer可自由扩展编写Exp网站漏洞扫描工具
  • 这里有个南方站点:www.gu***na.com 这个站点存在一个很老的南方的EXP,我发一下这个EXP: /NewsType.asp?SmallClass=%27%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20......
  • 所属分类:网站安全 更新时间:2017-08-21 相关标签: 阅读全文...
  • WebRobot1.8.2网站多功能网络安全渗透检测工具
  • 新版介绍 最新版的Webrobot使用的是插件模式,插件存放在主程序目录下的plugin文件夹里,所有插件的配置文件及字典等其他文件也存放在这个文件夹内。我们需要用到哪个插件,只需要双击它便可打开,需要关闭也是双击......
  • 所属分类:网站安全 更新时间:2017-08-21 相关标签: 阅读全文...
  • Discuz! X 最新Getshell漏洞批量利用
  • 废话少讲了,正文开始咱们还是先来看下这个漏洞 这个漏洞bug出现在一个DZ X系列自带的转换工具里面 漏洞路径是:utility/convert/data/config.inc.php 在开始设置里面可以设置数据的属性,而post的数据直接写到了......
  • 所属分类:网站安全 更新时间:2017-08-21 相关标签: 阅读全文...
  • 入侵检测之记一次色情诱导付费网站getshell以及漏洞的整理
  • 某一天俺的性质突然来了,登着QQ 刚好一个发色情广告的给我发了个网址话说我可是有女朋友的,然后我就脱了裤子进去了!!进去之后,然后随便点开一个链接,我TM裤子都脱了你就好意思给我看这个玩意吗? 后台默认是......
  • 所属分类:网站安全 更新时间:2017-08-20 相关标签: 阅读全文...
  • WSH注入:实例一则
  • 在2017年举办于纳什维尔的BSides会议上,Casey Smith(@SubTee)和我(Matt Nelson,@enigma0x3)做了一个题为《Windows Operating System Archaeology》的演讲。在这个演讲中,我们展示了一些在Windows中利用组件对......
  • 所属分类:网站安全 更新时间:2017-08-17 相关标签: 阅读全文...
  • SQL注入的一些技巧分享
  • 先上一道简单的ctf注入题: 一道利用order by进行注入的ctf题 很不错的一道利用order by的注入题,之前不知道order by除了爆字段还有这种操作。 原题地址:http://chall.tasteless.eu/level1/index.php?dir= 直接......
  • 所属分类:网站安全 更新时间:2017-08-15 相关标签: 阅读全文...
  • 浅谈代码审计入门实战:某博客系统最新版审计之旅
  • 第一次正式的审一次CMS,虽然只是一个很小的博客系统(提交都不一定收的那种),漏洞也都很简单,但是也算是积累了不少经验,所以最后想来还是在此做个分享,博客系统的CMS就不说了,毕竟有个官网挂着。。。缘起某日翻......
  • 所属分类:网站安全 更新时间:2017-08-10 相关标签: 阅读全文...
  • 如何借助Burp和SQLMap Tamper利用二次注入
  • Web应用已经从简单的脚本逐渐发展成完整的页面应用程序,然而越复杂的Web应用就越容易出现不同类型的安全漏洞,其中的一种就是二次注入漏洞。攻击payload首先被Web服务器上的应用存储,随后又在关键操作中被使用,这......
  • 所属分类:网站安全 更新时间:2017-08-03 相关标签: 阅读全文...
  • 攻击SQL Server CLR程序集
  • 我将介绍如何创建,导入,导出和修改SQL Server中的CLR程序集,以达到提升权限,执行系统命令和持久性等目的。我还将分享一些使用PowerUpSQL在Active Directory环境中更大规模执行(批量)CLR攻击的技巧。 什么是SQL ......
  • 所属分类:网站安全 更新时间:2017-08-03 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集