简单的sql注入绕过 一、前言群里一位师傅遇到了本地靶场sql注入的问题,判断出注入但是无法进行下一步,sqlmap也是跑不了。 二、过程通过跟师傅交流大概知道了是什么问题,并通过向日葵远程师傅的电脑。 本地搭建的DC9靶机: 搜索框注入: 搜索Mark正常输出用户信息,加'则不输出信息,加#则输出信息,从而得知存在sql注入。 123456789101112131415161718Mark 正常输出用户信息 2022-05-02 安全笔记 > 日常笔记 #sql注入
dos中的转义字符 一、前言经常写shell会有^符号,一开始不太明白这有什么作用,为什么要加^符号,于是便学习一下转义符号的使用。 转义字符^用在特殊符号之前,取消特殊字符的作用。 一般而言,^以转义字符的身份出现。因为在cmd环境中,有些字符具备特殊功能,如>、>>表示重定向,|表示管道,&、&&、||表示语句连接……它们都有特定的功能,如果需要把它们作为字符输出的话,e 2022-05-01 安全笔记 > 日常笔记
内网学习笔记-PsExec和WMI使用 1、PsExecPsExec 是 PSTools 工具包里的一部分,其下载地址为:https://download.sysinternals.com/files/PSTools.zip 利用 PsExec 可以在远程计算机上执行命令,其基本原理是通过管道在远程目标主机上创建一个 psexec 服务,并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件,然后通过 psexec 服务运行命令,运 2022-04-30 安全笔记 > 内网学习笔记 #内网笔记
ffuf 简介FFUF:一款高效的FUZZ工具。 特性: 一个字,快! 但是速度越快往往也越容易被ban。 安装地址:https://github.com/ffuf/ffuf/releases // 可自行下载编译后的 也可以使用源代码进行编译 基本攻击目录扫描:-w 设置字典 -u 设置目标 也可以进行子域名枚举,更换字典与FUZZ位置即可,灵活运用。 这里我以Fuzz目录来做演示: 1ffuf.exe 2022-04-18 安全笔记 > Tools
失眠 失眠 一直都很喜欢夜晚的宁静,享受这种宁静的感觉,也常因为焦虑而失眠。凌晨1:30分洗了个澡便在床上躺着,可迟迟也不能入眠,拿起手机看了看已经3:30分,就这样我又失眠了,丝毫没有一点困意,于是我便有了这篇文章。 坐在电脑前听着门外的汽车声,不知此刻的脑子在想着什么,不知道要思考什么,更不知道随着年龄的增加自己变得越来越焦虑,生活的焦虑,工作的焦虑。 有时候,焦虑是一种莫名的情绪,它让我 2022-04-15 生活琐事 #生活琐事
shiro反序列化漏洞复现 shiro反序列化漏洞复现Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 一、shiro550利用条件知道aes加密的key且目标服务器含有可利用的攻击链。 原理: 在Shiro <= 1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化 2022-04-14 安全笔记 > 漏洞复现 #漏洞复现