0x01 漏洞原理SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操...
微信为什么使用 SQLite 保存聊天记录?
SQLite 是一个被大家低估的数据库,但有些人认为它是一个不适合生产环境使用的玩具数据库。事实上,SQLite 是一个非常可靠的数据库,它可以处理 TB 级的数据,但它没有网络层。接下来,本文将与大...
使用合法网站制作C2
1、简介对于攻击者而言,隐藏自己的C2是重中之重,以往都是使用合法的应用API创建自己的C2,不过我们也可以将payload托管在合法的网站上,这样在受害者主机上的通信可能会绕过防火墙。 该方法最早提...
实战 | 记一次校内的XX系统渗透
首先进入主页是这个样子F12也没找到啥接口。爆破也没出来。注入也无。。。。陷入僵局。然后继续翻IP。搜到一个人力资源管理系统F12有惊喜。这里背景图片居然是download+id。然后顺势遍历一波ID...
Dubbo反序列化漏洞分析集合2
前言 这篇是对上一篇进行了补充,添加了两个Hessian协议的分析和Kryo<5.0.0的利用和MRCTF中的Kryo>5.0.0特定场景利用 环境搭建 同样是使用上篇文章的环境 给个传送...
代码审计MySQL实时监控工具
0X1 MySQLMonitor介绍MySQLMonitor是404Team星链计划2.0中的一环,MySQL实时监控工具(灰盒测试辅助工具)可以自动开启MySQL日志实时显示程序执行过的语句。0X2...
从一道题看MySQL8.0下的SQL注入盲注技巧
本文来自:西安电子科技大学网络与信息安全学院作者:安权 前言随着安全技术的不断完善发展,现在的SQL注入漏洞已经很少能见到了,但是真的是这样吗?新的版本,新的漏洞。不妨来看看这道“easy”的CTF题...
Slackware Linux 15.0 / 当前 mariadb 多个漏洞 (SSA:2022-141-01)
点击上方蓝字“Ots安全”一起玩耍×01 漏洞描述远程 Slackware Linux 主机缺少 mariadb 的安全更新。- 风险因素:中 - 插件类型:本地 - 脚...
巨坑,常见的 update 语句很容易造成Bug
作者:菩提树下的杨过链接:https://www.cnblogs.com/yjmyzz/p/13562182.html业务系统中,使用update语句更新数据是再正常不过的场景,我们也经常通过upda...
从0到1完全掌握SSTI
从0到1完全掌握-SSTISSTI 的这张图,异常生动,师傅们可以看看0x01 前言网上部分文章全是翻译没有自己的理解,打算自己写一篇。最早看到 ssti,是在 Python Flask 那儿,最近打...
从源代码的控制流图中学习特性以定位缺陷
原文标题:The fowing nature matters: feature learning from the control fow graph of source code for bug l...
一次堆叠注入拿shell的总结
文章作者 :0r@nge原文链接 :https://forum.butian.net/share/51本来对堆叠注入没啥了解,这次正巧碰到mssql的堆叠注入,正好加强一下对堆叠注入的理解。...
10