蜗蜗侠's Blog-关注网络安全移动版

  • 把正常的PHP文件变成后门文件

    日期:2016-11-27 14:47:14 点击:58 好评:0

    这里我们用的是 .htaccess文件(分布式配置文件,提供了针对目录改变配置的方法),通过在配置文件中写入php的相关配置,从而引入后门文件。 需要用到的PHP配置函数 [PHP] 纯文本查看 复制代码 ? 1 2 3 allow_url_inculde=on auto_prepend_file = // 在页面...

  • 万能密码的原理

    日期:2016-11-27 14:44:51 点击:175 好评:0

    测试代码: [PHP] 纯文本查看 复制代码 ? 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 //连接数据库 $coon = mysql_connect( localhost , root , root ) or die ( Connect Error .mysql_error());...

  • XSS通关小游戏以及我的挑战思路分享(XSS绕过代码)

    日期:2016-11-26 13:50:03 点击:98 好评:0

    一、前言 本文原创作者:Linxinyu 首先声明,本次XSS挑战的链接为http://sqler.win,感谢站点的主人搭建了这么好的环境。本文中的payload只是抛砖引玉,我水平有限,不能每个payload都写的最短最好,还是以完成挑战为目的。希望大家集思广益,有好的想法与我...

  • SQL注入详解(宽字符注入) 第二集

    日期:2016-11-26 13:40:21 点击:195 好评:0

    前言 建议没看第一集的童鞋可以先看第一集: SQL注入漏洞详解 第一集 0x01 前言 又回来了,今天讲讲宽字节注入。 0x02 简介 宽字节注入源于程序员设置MySQL连接时错误配置为:set character_set_client=gbk,这样配置会引发编码转换从而导致的注入漏洞。具体...

  • 子域名搜集思路与技巧梳理

    日期:2016-11-26 10:16:17 点击:159 好评:0

    前言 本文适合Web安全爱好者,其中会提到8种思路,7个工具和还有1个小程序,看本文前需要了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。首先我们引用一句名言作为开篇: 在渗透测试中,信息搜集能力的差距,不明显,也最明显。 在技术分享...

  • 我的WafBypass之道(SQL注入篇)

    日期:2016-11-26 10:12:02 点击:118 好评:0

    【本文转自 安全脉搏战略合作伙伴 先知技术社区 原帖地址 安全脉搏编辑 huan9740 整理发布】 0x00 前言 去年到现在就一直有人希望我出一篇关于 waf绕过 的文章,我觉得这种老生常 谈的话题也没什么可写的。 很多人一遇到waf就发懵,不知如何是好,能搜到的各...

  • csrf配合sqlmap绕过token

    日期:2016-11-25 20:08:24 点击:76 好评:0

    csrf token,每次提交一个页面都会改变的值。 网上很多教程都说burp结合sqlmap绕过csrf,个人感觉很麻烦,后看到外国牛人的writeup,介绍了sqlmap配合脚本脚本绕过csrf 的限制,感觉比结合burp方便。...

  • mysql数据库的学习

    日期:2016-11-25 10:59:38 点击:190 好评:0

    借助ichunqiu的平台的 整理一下自己学习的东西: 今天简单回顾了一下mysql数据库 和php有关的东西总结如下: 数据库的备份 mysql -u root --password=root 备份数据库命令: mysqldump -u root --password=root --databasehelloworld helloworld_backup.sql...

  • 利用Burpsuit学习注入工具语句

    日期:2016-11-25 10:54:42 点击:102 好评:0

    引子 小明学习 网络安全 有些日子了,从刚入门的小白已经晋级到脚本小子了,对各大神器如Burpsuit、Sqlmap等有了大概的了解,可最近似乎遇到了瓶颈,纷繁复杂的工具已经搞得他焦头烂额,他意识到应该 专注(Focus) , 你 看大牛们一言不合就读sqlmap源码,可...

  • 一次基于XSS的刷票实践

    日期:2016-11-25 10:50:03 点击:51 好评:0

    0x01 前言 好不容易周末,本宝正在睡懒觉,被一个夺命连环call叫醒,是基友甲打来的。赶紧的,给我女儿投票,一天可以投一次。好处少不了你的,如果得第一,让 我女儿给你个香吻。我一听来精神了,毕竟单身太久了。。。。。据说刷票这活已经基本形成产业链,...