蜗蜗侠's Blog-关注网络安全移动版

  • 使用burp进行java反序列化攻击

    日期:2016-12-16 11:09:33 点击:146 好评:0

    这篇文章主要讲解的是关于Java反序列化以及针对Java的Burp攻击插件(Java Serial Killer)。如果你想要下载这个插件,请直接忽略这篇文章,然后直接访问该项目的 Github页面 进行下载安装即可。 近期, 研究人员发现了大量的Java反序列化攻击。这项技术给广...

  • 绕过CDN查看网站真实IP的一些办法

    日期:2016-12-16 10:49:21 点击:81 好评:0

    -1、验证是否存在CDN最简单的办法 通过在线的多地ping,通过每个地区ping的结果得到IP 看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对 如果这些IP大多都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN 0、验证IP和...

  • WAF绕过的一些技巧

    日期:2016-12-16 10:38:34 点击:167 好评:0

    tips1: 神奇的 ` (格式输出表的那个控制符) 过空格和一些正则。 mysql select`version`() - ; +-+ | `version`() +-+ | 5.1.50-community-log | +-+ 1 row in set (0.00 sec) 一个更好玩的技巧,这个`控制符可以当注释符用(限定条件)。 mysql select id fr...

  • 渗透测试与社工时用到的查询网址总汇!

    日期:2016-12-16 10:32:25 点击:107 好评:0

    一、查企业查信用 1、信用中国 http://www.creditchina.gov.cn/ 2、全国企业信用信息公示 http://gsxt.saic.gov.cn/(导航) http://gsxt.saic.gov.cn/zjgs/(总局) 3、信用导航 http://www.creditchina.gov.cn/toNavigation 4、企信宝 http://www.qixin.co...

  • 密码学笔记

    日期:2016-12-13 16:08:08 点击:101 好评:0

    第一部分:十大基本规律 规律一: 绝大多数人都高估了破译密码的难度和低估了自己密码存在的风险,因而,往往把能够破解密码的人当成神秘人物,同时基本很少有修改自己密码的习惯。 规律二: 绝大多数人一生常用的密码通常不会超过3个,如果你破解了某人的QQ...

  • MongoDB注入笔记

    日期:2016-12-13 15:32:47 点击:158 好评:0

    很久以前就听说过MongoDB数据库了,之前也学习过但是后面几乎没怎么用就忘了,当时据说因为不是传统的关系型数据库NoSQL数据库也没有SQL注 入一说,还是比较安全的,MongoDB火了一段时间之后随着大家对它的了解越来越深逐渐的也发现了一些安全方面的问题,后...

  • postgresql注入之文件读写

    日期:2016-12-13 15:25:12 点击:153 好评:0

    一直以来PostgreSQL的数据库遇到得很少对于一些在注入中对文件操作的知识比较单薄于是就自己搭建了一个环境来测试一下。操作系统用的是CenOS7.1,WEB服务器用的是Nginx1.9+PHP5.6来搭建,数据库则是最新的PostgreSQL9.4。搭建好整个环境之后自己构造了一个典...

  • SQL注入详解 第四集(FILES注入)【附源码】

    日期:2016-12-12 15:09:51 点击:0 好评:0

    0x01前言 今天讲讲FILES注入,这个跟一般的妖艳贱货是有一点区别的,大家做 渗透测试 的时候,可以试试这种思路 0x02正文 FILES注入一般情况是是因为上传时把上传的名字带到insert入库产生的,这里我们找个案例来讲,就tipask吧 首先我们看看index.php [Appl...

  • linux快速搭建VPN教程

    日期:2016-12-01 20:40:01 点击:82 好评:0

    前期准备: 操作系统:Centos-5-x86 所需安装文件:http://myvps-scripts.googlecode.com/files/pptpd.sh 1:首先要检测tun/tap是否已经开启: cat /dev/net/tun 返回File descriptor in bad state则tun已开启 cat /dev/ppp 返回No such device or address则ppp...

  • SQL注入详解 第三集(时间盲注)

    日期:2016-11-30 14:27:39 点击:116 好评:0

    0x01前言 不知道写啥,那个...大家吃好喝好啊~ 0x02时间盲注 先上源代码 [AppleScript] 纯文本查看 复制代码 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 ?php $con = mysqli_connect ( localhost , root , root , test...