蜗蜗侠's Blog-关注网络安全移动版

self-xss实战 - 企鹅案例

0x01 前言 这不属于连载！早上在CTF群跟一小伙子吵起来了，原因是问我XSS的问题，我虽然回答了，虽然我语气欠佳，但是我不想道歉（就是这么傲娇）。午睡到一半起来，想了一下还是发一篇XSS的文章，这里拿一个腾讯的案例来测试。TSRC的人不要打我。 0x02 正文...

【转载】phpmyadmin漏洞利用总结

一： 影响版本：3.5.x 3.5.8.1 and 4.0.0 4.0.0-rc3 概述：PhpMyAdmin存在PREG_REPLACE_EVAL漏洞 利用模块：exploit/multi/http/phpmyadmin_preg_replace CVE: CVE-2013-3238 二： 影响版本：phpMyAdmin v3.5.2.2 概述：PhpMyAdmin存在server_sync.php 后门...

Weblogic ssrf CVE-2014-4210 扫描内网主机信息

扫描内网主机信息： exp: https://[vulnerablehost]/uddiexplorer/SearchPublicRegistries.jsp?operator=http://10.0.0.4:22rdoSearch=nametxtSearchname=sdftxtSearchkey=txtSearchfor=selfor=Business+locationbtnSubmit=Search 通过访问exp如果10.0.0.1的...

Kali下beef-xss利用_新手易懂篇~

这次是专门给一些积极向上的渗透小白讲一下beef-xss利用 简单易懂，请勿灌水 首先我们使用 kali 中的终端 输入命令进行打开 beef 事先我准备好了环境，进而提升小白的学习效率 把我们终端给出的 url ---js 加 xss 格式来插内容 进入我们的后台查看留言 然后...

从老漏洞到新漏洞—iMessage 0day(CVE-2016-1843) 挖掘实录

注：文章里“0day”在报告给官方后分配漏洞编号： CVE-2016-1843 一、背景 在前几天老外发布了一个在3月更新里修复的 iMessage xss漏洞 （ CVE-2016-1764 ）细节 ： https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-reco...

浅谈sql注入中的Post注入

00x01 在许多交流群中，我看见很多朋友对于post注入很是迷茫，曾几何，我也是这样，因为我们都被复杂化了，想的太辅助了所以导致现在感觉到难，现在，就让我们一起来谈谈，post注入是多么的轻松吧！ PS:文中有写os-shell 00x02 测试站点： http://xxx.xxxxx....

mysql注入点的另类利用

社区：i春秋 时间：2016年8月11号晚 作者：Binghe 前言： 渗透测试 所遇的情况瞬息万变，以不变应万变无谓是经验与技巧的整合 简介： 如下 mysql注入点如果权限较高的话，再知道web物理目录说明这个站胜券在握。 可以直接 os-shell拿到交互的cmd和一个小马...

mysql精讲注入权限及防注入

学习mysql注入 我们一定要了解mysql数据库 这是必须的 mysql是一个开放源码的小型关联式数据库管理系统，开发者为瑞 典mysql ab 公司。目前mysql被广泛的应用在internet上的中小型网站中。由于体积小，速度快，总体拥有成本低，尤其是开放源码的这一特点，最...

Access注入精讲从不会到会！

hello 大家好 我还是那个人见人爱 花见花开 汽车见了都要爆胎的i春秋型男king总 语言依旧是那么的低沉且性感。又来给大家讲解web安全的 第一视角了 今天给大家带来的教程是什么呢 没错就是针对Access注入的精讲部分希望大家能够好好学习 天天向上！用英语怎...

深入了解php+mysql注入及修补！

很高兴又跟大家见面了，蛋总老是说我只会打狗什么的 经过一段时间的对web安全的学习 我要证明给他看我不仅仅会过狗，你们会的我小king也不会比你们差 所以就给大家发这样的一个帖子！！ 希望大家多多学习提取意见。 在开始之前让我们先了解下 phpmysql吧 mys...