前言今天,我们通过一道赛题来与大家分享sql注入的绕过技巧。大家在攻防中经常会遇到各种厂商开源或者商用的waf产品,那么“如何进行合理的绕过”其实是红队攻击人员必备的素养。01 ...
08月01日25 views评论fuzz
阿里云
【技术分享】SQL-FUZZ技巧及阿里云waf绕过方式
08月01日25 views评论fuzz
阿里云
08月01日25 views评论fuzz
阿里云
基础速查-ASCII
ASCII为什么系列第一个是ASCII,计算机只能处理二进制的数据,所以计算机先要识别键盘上输入的字符,做出ASCII中相关对应的操作。但计算机哪认识这些,所以需要制定一个标准,目前使用最广泛的西文字...
07月05日程序逆向8 views评论ascii
hex
CTF常见编码
扫码领资料获网安教程免费&进群常见编码ASCII编码ASCII(美国标准信息交换代码)是基于拉丁字母的一套电脑编码系统,主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节编码系统,是网...
06月02日16 views评论字符
编码
HTTP3 RFC 9114 发布,深入剖析HTTP3协议(三)
10. 安全注意事项HTTP/3的安全考虑应该与使用TLS的HTTP/2相当。然而,[HTTP/2] 第 10 节中的许多注意事项适用于 [QUIC-TRANSPORT]。10.1. 服务器权限HTT...
05月20日27 views评论ascii
服务器
【DFIR报告翻译】Quantum 勒索软件
摘要这是我们遇到过的入侵最快的勒索软件案例,攻击者从边界突破到部署域范围的勒索软件只用了大约4个小时。攻击者通过邮件钓鱼投递IcedID恶意软件成功突破了网络边界。以下是我们遇到过的其他勒索组织在边界...
05月05日37 views评论勒索软件
恶意软件
干货技巧 | PHP无回显渗透测试总结
扫码领资料获黑客教程免费&进群随确定站点在渗透测试过程中,开发不可能每一次都将结果输出到页面上,也就是漏洞无回显的情况,那么在这种情况下,我们可以通过dnslog判断漏洞存在,或者通过起一个p...
02月16日32 views评论data
id
通过mspaint工具写shellcode
前言:今天看到一个推送消息,演示了通过mspaint写shellcode弹CMD,所以简单研究了一下。1.MSPAINT弹cmd1.1什么是RGB看视频之前我们先了解一下什么是RGB,RGB色彩模式是...
02月16日52 views评论ascii
shellcode
蓝军基础研判系列-流量分析(二)
题目地址:攻防世界-流量分析https://adworld.xctf.org.cn/challenges/details?hash=97f0c2dd-dd00-4b0c-9ac9-e789d75fd...
01月25日42 views评论sql注入
数据包
在 Linux 终端上的 10 个有趣的命令
Linux 的命令行不仅是一个复杂且强大的命令所在地,同时也是一个有趣的乐园。在本文中,我整理了一系列有趣的 Linux 命令,您可以从中获得乐趣。cmatrix本列表中的第一个必须是 cmatrix...
01月24日38 views评论apt
linux
技术干货 | 渗透测试之黑白无常续
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微...
01月08日25 views评论payload
渗透测试
【原创】记一次ctf实战——CISCN-2019-华北赛区-Day2-Web-Web1
[huayang] 我们先进去看看 sql注入并且给出了表和列名 测试一下注入语句 有过滤,在网上看见一份源代码可以参照参照 <?php $dbuser='root'; $dbpass='roo...
01月08日28 views评论payload
安全博客
【原创】ctfshow—web(1—14)
[huayang] web1 web2 手注 sqlmap web3 web4 payload ?url=/var/log/nginx/access.log 看日志 写入一句话 <?php @e...
01月01日9 views评论name
url
8