<?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' === preg_repla...
Pikachu新手教学之CSRF
0x01CSRF(跨站请求伪造) 原理:攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏 览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行 当用...
【转载】安卓APP抓包解决方案(教程)
本文转载自先知社区:https://xz.aliyun.com/t/11817在我们日常的渗透测试工作中经常会发现手机APP抓取不到数据包的情况,本篇文章讲解的是通过postern代理软件来全局转发流...
技巧|安卓APP抓包解决方案(教程)
在我们日常的渗透测试工作中经常会发现手机APP抓取不到数据包的情况,本篇文章讲解的是通过postern代理软件来全局转发流量至charles联动BURP来对APP进行渗透,在这套环境配置完成之后可以为...
webshell绕过案例
背景在研究基于netfilter的后门时,我想到如果webshell可以创建af_packet、af_netlink等socket,就可以不使用$_POST、$_GET等方式获取用户输入,因为某些we...
Vaf Web fuzzer
vaf 是一个具有很多功能的跨平台网络模糊器。它的一些功能包括:快速穿线HTTP 标头模糊测试代理安装您可以使用此单线安装 vaf:curl https://raw.githubusercontent...
全网最强的 HTTP 协议讲解
来源:blog.csdn.net/csp732171109/article/details/122608300写在最前超文本传输协议(Hyper Text Transfer Protocol,HTTP...
渗透测试中登录框骚操作总结
扫码领资料获黑客教程免费&进群由于测试过程中很多系统我们能接触到的只有一个登陆界面,所以要充分挖掘漏洞,进行深入操作登录 注册万能密码绕过登录存在 SQL 注入的情况下,有可能使用万能密码直接...
洞见简报【2022/10/15】
2022-10-15 微信公众号精选安全技术文章总览洞见网安 2022-10-15 0x1 攻防蓝队技能篇:溯源浪飒sec 2022-10-15 16:00:44免责声明本公众号所发布的文章...
Nginx 如何记录post body 数据
默认情况下nginx 只记录http 协议中 get、post 的url 、UA 等信息,不会记录post body 数据,但是一些场景下我们有需要观察post body 数据以确认bod...
渗透测试中登录框Tricks总结
由于测试过程中很多系统我们能接触到的只有一个登陆界面,所以要充分挖掘漏洞,进行深入操作登录 注册万能密码绕过登录存在 SQL 注入的情况下,有可能使用万能密码直接登录admin' or '1'='1'...
用Python实现一个CSDN自动三连工具
对于CSDN自动三连工具,大佬小小明很早就实现了一个 GUI 版本的工具,具体页面如下从界面就可以看出,这款工具还是非常强大而且功能也相当齐全了,喜欢的朋友可以去小明哥的CSDN上查找哈。工具虽好,不...
21