0# 概述在Web渗透攻防的情况下,很多时候在前期打点,需要对Webshell进行各种免杀操作来过Waf或者防止防守方的觉察。这时候,各种PHP的加密算法层出不穷,都是将PHP的执行语句,通过加密的方...
MySQL不出网文件落地上线姿势
第一步 判断环境1、查看MySQL版本show variables like '%version%'; select version(); 2、查看load_file() 开启即 secure_fil...
WEB常见漏洞之SSRF(基础原理篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
GDG Algiers CTF两道矩阵题wp
本文为看雪论坛优秀文章看雪论坛作者ID:狗敦子gdgalgiers crypto wp两道矩阵相关的题,感觉可以整理一下下。the_matrixpython sln.pyCyberErudites{D...
yii && gii ctf篇
概述简单说下Yii 是一个高性能PHP的web 应用程序开发框架。通过一个简单的命令行工具 yiic 可以快速创建一个 web 应用程序的代码框架,开发者可以在生成的代码框架基础上添加业务逻辑,以快速...
Shipwreck
这个工具实际在22年年初就写完了,现在才上传到Github,是因为目前的工作实际上大部分时间都在二线,以及以当前所掌握的知识没办法继续更新了,当然有一些零碎的点没有加到工具里,比如IAT导入表擦除等,...
基于mfw靶场实战的注入渗透
前言:本来想写一篇关于代码审计方面的,但是考虑到公众号新手很多,所以我想了想还是发一篇关于靶场的文章,这里有一小部分的代码审计,也算是一个小的实战环境了,因为这里也涉及到一些小的知识点,大家可以去靶场...
WEB常见漏洞之文件包含(基础原理篇)
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狐狸说安全及文章作者不为此承担任何责任。0x01漏洞概述和SQL注...
xray1.9.4windows高级版
01 前言 微信交流群开放中 通过公众号下方菜单栏联系我进群哦 文末获取下载链接(自行查验是否有毒) 棉花糖的论坛网站开设啦! 论坛链接:https://www.mianhuatang....
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
1.漏洞原理Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,a.phpx0a将被按照PHP后...
利用DNS实现SQL注入带外查询(OOB)
根据用于数据检索的传输信道,SQLi可分为三个独立的类别:inference(经典SQL注入),inband(盲注、推理注入、带内注入)和out-of-band一、什么是OOBout-of-band带...
三个bypass案例分享
首发:土司论坛案例1 文件上传waf bypass内容校验+后缀校验 已具备条件:上传处可上传任意类型的文件,但是平台存在waf,直接上传会被拦截bypass后缀校验利用原理:利...
48