蜗蜗侠's Blog-关注网络安全移动版

  • Bypass 护卫神SQL注入防御(多姿势)

    日期:2018-10-09 09:59:28 点击:94 好评:0

    0x00 前言 护卫神一直专注服务器安全领域, 其中有一款产品,护卫神入侵防护系统 ,提供了一些网站安全防护的功能,在IIS加固模块中有一个SQL防注入功能。 这边主要分享一下几种思路,Bypass 护卫神SQL注入防御。 0x01 环境搭建 护卫神官网:http://www.huwe...

  • 我是如何将酒店的路由器强制绑定到我的账号下

    日期:2018-10-09 09:56:33 点击:175 好评:0

    前言 博主我每天看到那么对小情侣进进出出酒店有点小羡慕,更何况酒店里面都是各种情趣房,大圆床,啧啧..... 但是你可知道,假如有一天,你连上酒店WiFi之后,你的手机名称就出现在了别人的手机上,这就非常的尴尬了 背景 博主是个保守的男人,家附近有个住...

  • UEditor .net版本 getshell

    日期:2018-10-09 09:51:57 点击:168 好评:0

    UEditor .net版本 getshell...

  • 实战渗透过程中的提权技巧

    日期:2018-10-08 10:52:06 点击:83 好评:0

    前言 最近闲的时候在搞指定目标测试,在拿到目标后,经过广泛的信息收集,找到一个脆弱站点,拿下目标边界一台服务器(文件上传)。虽然直接是system权限,但是想连入目标远程桌面进行更深层次的信息收集,然而却遇到各种问题,做个笔记记录下。 0x01 知识点...

  • Cyberry靶机渗透测试

    日期:2018-09-28 11:59:32 点击:118 好评:0

    环境准备 靶机ip:192.168.107.132 攻击机kali:192.168.107.134 说明:目的是拿下靶机并获取root权限 渗透测试 首先nmap开路,找一下靶机的ip地址 nmap -sP 192.168.107.1/24 既然确定了ip,接着我们扫一下端口。 开了三个端口,1个web端口80,1个ssh端口22...

  • 四个实例递进php反序列化漏洞理解

    日期:2018-09-28 11:53:46 点击:180 好评:0

    索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态...

  • 一个通杀绝大多数交易平台的 XSS 0day 漏洞

    日期:2018-09-28 11:51:12 点击:101 好评:0

    余弦@慢雾安全团队 引子 慢雾区前后两位白帽黑客给我们反馈了这个 XSS 0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个 XSS。 昨天,我们开始对我们服务的所有...

  • 当EL注入遇上Java反序列化

    日期:2018-09-28 11:49:21 点击:92 好评:0

    译文声明 本文是翻译文章,文章原作者tint0,文章来源:tint0.com 原文地址: https://tint0.com/when-el-injection-meets-java-deserialization/ 译文仅供参考,具体内容表达以及含义原文为准 一、前言 我在某次渗透测试中,发现目标使用了Java Server Face...

  • 宜家PDF下载过程本地文件包含漏洞披露

    日期:2018-09-28 11:46:57 点击:135 好评:0

    译文声明 本文是翻译文章,文章原作者jonathanbouman,文章来源:medium.com 原文地址: https://medium.com/@jonathanbouman/local-file-inclusion-at-ikea-com-e695ed64d82f 译文仅供参考,具体内容表达以及含义原文为准 背景: 通过本地文件包含攻击,可...

  • Microsoft JET RCE漏洞预警

    日期:2018-09-28 11:27:02 点击:186 好评:0

    0x00 漏洞背景 2018年9月20日 Zero Day Initiative(ZDI)团队已公开披露了Microsoft JET数据库引擎中的一个严重的远程执行代码漏洞。 JET数据库引擎和windows捆绑在一起,并且被多个windows产品所使用。 0x01 漏洞详情 该漏洞是JET数据库引擎中的一个越界(...