前言申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! 此文章由团队师傅AGONI贡献,转载请注明来源。文章背景这篇文章也是自己在实战中所遇见的一些总结,各位大师傅估...
sql注入绕过方法总结
前言 SQL在CTF每一次比赛中基本上都会出现,所以有了这一篇总结,防忘,最后更新于2018/10/11。 简而言之...
2021HW参考|HVV行动之蓝军经验总结
HW行动,攻击方的专业性越来越高,ATT&CK攻击手段覆盖率也越来越高,这对于防守方提出了更高的要求,HW行动对甲方是一个双刃剑,既极大地推动了公司的信息安全重视度和投入力量,但同时对甲方人员...
【技术分享】从RFC规范看如何绕过waf上传表单(上篇)
作者:donky16@360云安全本文主要讨论,利用waf和后端程序对multipart/form-data的解析差异,造成对waf的bypass。背景介绍传统waf以规则匹配为主,如果只...
干货 | 绕过WAF的常见Web漏洞利用分析
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何...
【红蓝对抗】一次直达工控区的简单渗透
前言好久没写实战文章了,过年过的手都麻了,一天不渗透我是浑身难受。正想找几个站泄泄火呢。刚好就接到了领导的任务,需要我去参加某集团组织的攻防演练。过程即简单也曲折,好在成功绕过waf,且横向渗透取得办...
蚁剑特征性信息修改简单过WAF
原创作者:Adminxe,博客:https://www.adminxe.com/。0x00 前言针对于蚁剑的特征,对于流量传输中WAF检测的绕过, 打造武器库, 进行合理化的修改,例如请求头的伪造,流...
蚁剑自定义编码器和解码器来bypass waf
前言 蚁剑和菜刀一样是一款优秀的webshell管理工具(shll控制端),与菜刀相比,蚁剑具有开源,自定义能力强,跨平台等优点。在waf普遍的今天,蚁剑这款工具提供了自定义header,自定义bod...
免杀webshell的一些总结
前⾔ webshell免杀已经是⼀个⽼⽣⻓谈的话题了,现在的各种waf都已经可以识别常⻅webshell及其各种变形,也出现了基于沙箱技术和机器学习的waf。webshell的免杀⼀直在⼀个对抗的过沉...
Oracle注入简单挖掘-绕过姿势
Oracle注入简单挖掘-绕过姿势 背景 在进行SQLi测试的时候,我们会发现我们提交的一些Payload会被WAF或者Filter过滤拦截掉。因此,通过优化的Payload在...
BrowserWAF:免费、开源的前端WAF
BrowserWAF,一款由ShareWAF推出的免费、开源的前端WAF,也可称为浏览器WAF。什么是前端WAF?前端WAF是运行于浏览器端的WAF(web应用防火墙)、是种轻量化的WAF。适应中小网...
【实战技巧】webshell多种方法免杀
网安教育培养网络安全人才技术交流、学习咨询webshell这个东西对于web方向的还是极其重要的,getshell被杀了很难受,于是来研究一波自己的免杀马儿,毕竟别人没有自己的好用,而且分享出来分分钟...
35