记一次绕过waf的任意文件上传 本文来源:0x01 前言前几天对自己学校进行的一次渗透测试,由于深信服过于变态,而且拦截会直接封ip,整个过程有点曲折。期间进行了后缀名绕过,jspx命名空间绕过、获取网站根目录、base64五层编码... 访客 2022-05-30 387 #waf #base64 #任意文件上传
蚁剑的小tip 本文来源:STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转... 访客 2022-05-26 501 #base64 #data #管理器 #木马
常见webshell工具及特征分析 本文来源:前言在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下... 访客 2022-05-20 418 #webshell #base64 #一句话木马
分析一道简单安卓中级题 本文来源:安装app后打开,点击验证提示我们flag格式错误,请重试。我们打开jeb分析工具进行分析。红色图部分为源码目录,也就是dex文件反编译后的源码。R文件存储了资源相关的id,比如图片资源,按... 访客 2022-04-28 351 #函数调用 #赋值语句 #base64 #sub
业务安全漏洞-登录认证实战总结(一) 本文来源:用户名枚举漏洞描述一般存在于系统登录或注册页面,利用登陆系统中的漏洞可以试验出是否存在的哪些用户名,返回不同的出错信息可枚举出系统中存在的用户名。此处以注册页面为例,通过手工的方式输入账号查... 访客 2022-04-25 443 #信息安全 #用户名 #base64 #前端 #网络安全 #aes #漏洞
BurpCrypto: 万能网站密码爆破测试工具 本文来源:BurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuit插件。一、编译mvn package 二、为什么解决了痛点目前越来越多的网站系统在登录接口、数据请求接口... 访客 2022-04-21 323 #网络安全 #base64
绝路逢生出0day-SYSTEM权限内网漫游 本文来源:又是一个深夜,记录前段时间测试的过程。唉,每次小有所学就要懈怠一会。全文高强度打码。0x00 一个登录框使用google hacking语法,翻了一翻,锁定了目标范围内一个看起来普普通通的登... 访客 2022-04-13 240 #base64