user - 第 25 | CN-SEC 中文网

逆向工程

2020 第四届强网杯全国网络安全挑战赛Online Writeup

前言近期的一个周末参加了强网杯线上赛，以下是web题解。web辅助类定义如下：user = $user; $this->pass = $pa...

09月11日640 views评论

阅读全文

安全工具

激活用户小工具

前言在渗透测试工作中，我们偶尔可能会遇到需要激活guest等用户的操作，所以编写了该工具，进行方便使用。基本命令如下：net user guest /active:yes编写工具这里我们用到netus...

09月11日323 views评论

阅读全文

未分类

提权学习之旅—基础篇

前言：无论是CTF赛题还是渗透测试，有很多时候拿到WebShell的权限并不高，没有办法继续深入，所以需要进行提权操作，方便下一步的进行。基础知识0x00:什么是提权提高自己在服务器中的权限，主要针对...

09月10日45 views评论

阅读全文

代码审计

某网站管理系统辣鸡审计

审计菜鸟也想学好审计跟着a1师傅要了几套水货源代码，想自己审计一下，在这里向a1师傅表白主页：把码打好，对作者表示尊重过程：先简略查看全部文件，查看到一个360webscan脚本，我们给他关掉，这个脚...

09月10日236 views评论

阅读全文

安全闲碎

为什么MySQL不推荐使用uuid或者雪花id作为主键？

点击上方 Java后端，选择设为星标优质文章，及时送达在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一，单机递增),而是...

09月07日165 views评论

阅读全文

安全开发

explain都不会用，你还好意思说精通MySQL查询优化？

来自公众号：非科班的科班Explain简介Explain关键字是Mysql中sql优化的常用「关键字」，通常都会使用Explain来「查看sql的执行计划，而不用执行sql」，从而快速的找出sql的问...

08月26日219 views评论

阅读全文

安全开发

永远不要在代码中使用「User」这个单词！

点击上方“编程技术进阶”，选择加"星标"或“置顶”重磅干货，第一时间送达来源：21cto.com/article/2093当你意识到你在项目开始时做的轻量、简单的设想竟然完全错了时，你已经用了六个月的...

08月09日251 views评论

阅读全文

网络安全等级保护测评-MYSQL篇

身份鉴别a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；测评方法；1）使用如下命令查询账号select user, host，password from...

06月10日安全闲碎104 views评论

阅读全文

YouYaX_V5.66 SQL注入漏洞(官网躺枪)

/Lib/MessageAction.php行94[php] public function delMesses() { $user = $_SESSION['youyax_use...

01月01日漏洞时代429 views评论

阅读全文

漏洞时代

云购Cms#重装漏洞

浅蓝在install目录下有个setconf.php 先来看看内容虽然index check.php 等文件都验证唯独重要的setconf.php没有

01月01日367 views评论

阅读全文

漏洞时代

通达oa多处二次注射漏洞

添加关注的人，众多功能依赖该数据提交

01月01日422 views评论

阅读全文

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

/system/module/user/model.php [php] public function update($account) { /* If the user want...

01月01日漏洞时代515 views评论

阅读全文

2020 第四届强网杯全国网络安全挑战赛Online Writeup

激活用户小工具

提权学习之旅—基础篇

某网站管理系统辣鸡审计

为什么MySQL不推荐使用uuid或者雪花id作为主键？

explain都不会用，你还好意思说精通MySQL查询优化？

永远不要在代码中使用「User」这个单词！

网络安全等级保护测评-MYSQL篇

YouYaX_V5.66 SQL注入漏洞(官网躺枪)

云购Cms#重装漏洞

通达oa多处二次注射漏洞

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

在线咨询

微信