shell 访问abb.php会在当前路径生成abab.php 本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
一个“登录框”引发的安全问题
前言 搞安全的小伙伴只有一个登录框你都能测试哪些漏洞? 通常大家测试的都会测试关键部分,为了有更好的测试效果,小厂会提供给你用户名密码;但是一些比较重要的企业,而这个环境却是正式环...
应对攻防演习你需要了解的weblogic攻击手法
weblogic服务器的特点为架构庞大复杂,蓝队一般很难防御,且多部署于外网。而且weblogic的攻击成本比较低,只要存在漏洞,一般可以直接获取目标服务器的root权限。在攻防演...
任意文件读取的一些姿势
任意文件读取漏洞 文件读取技巧1、一般我拿到一个任意文件读取得先判断权限大不大,如果权限够大的话可以直接先把/etc/sadow读下来,权限不够就读/etc/passwd,先把用户...
Lower-SQL至系统沦陷
在一次edusrc挖掘中,发现了一个系统,对于学校来讲算是及其重要的一个系统,其中部署这大批量的教师+学生信息
Xstream反序列化远程代码执行漏洞深入分析
Xstream是java中一个使用比较广泛的XML序列化组件,本文以近期Xstream爆出的几个高危RCE漏洞为案例,对Xstream进行分析,同时对POC的构成原理进行讲解
CTF—MISC—某次CTF校队选拔赛MISC某题(zip恢复、MP3)WP
题目以及两个Hint:题目文件下载完后就是一个单纯的rar:有兴趣可留个言。使用winrar打开rar包,发现需要密码。题目提示密码为6为小写字母,同时有如图信息:
小米路由器管理员密码爆破分析
目的 路由器管理员密码未知,根据已有字典爆破出管理员密码。工具:burpsuite 脚本语言:python3.7+
分享几个国外常用的病毒样本下载站点
恶意样本 在进行恶意样本分析时,无论你是做渗透测试进行学习的,做大数据分析的,还是做应急响应、安全服务的,都离不开大量的恶意样本,在这里给大家分享一下国外安全人员常用于恶意病毒木马...
大佬的蚁剑绕过waf
蚁剑waf 各位七夕快乐 刚下班逛了一下土司发现了一篇关于蚁剑的好文,就直接拿过来和大家分享了。 我个人其实还是更喜欢msf 0_0
ubuntu导入burp证书抓包https
burp 1、打开burp挂上代理访问,浏览器访问http://burp/点击右上角CA Certificate下载证书 2、安装certutil,sudo apt-get ins...
利用TheFatRat生成一个msf后门
thefatrat 项目地址:https://github.com/Screetsec/TheFatRat安装需要挂梯子安装完成,fatrat打开