自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

MyBack

手册与代码记录

  • 博客(45)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 本人博客已迁移

本人博客已迁至: http://www.linux-info.org喜欢perl, linux, 渗透, 编程的可以看看, 一起交流

2015-07-19 00:48:55 788

原创 不支持union select 时的asp手工注入方法

首先看一个简单的站点这种站点, 一眼看了, 都是有漏洞的多。上面的站, 是支持union select 注入的。但这里说的是不支持union select 注入的情况, 所以, 我们这里不利用union select 来注入。(假设不支持)进入产品展示里面, 随便点一个产品, 都有注入, 我们拿这个来做例子。http://www.joesd.com/

2015-06-10 03:31:25 2718 1

原创 PERL语言入门:第四章:子程序(函数):习题2:求1-100总和

#!/usr/bin/perluse warnings;use strict;my @number = 1..100;my $sum = &number_sum(@number);print "总和是: $sum\n";sub number_sum{ my $sum; foreach (@_){ $sum += $_; } $sum;}

2015-06-09 15:35:50 1058

原创 PERL语言入门:第四章:子程序(函数):习题1:写一个程序, 求所有参数的和

#!/usr/bin/perl use warnings;use strict;sub sub_max{ my $sum; foreach (@_){ $sum += $_; } print "总和是: $sum \n"; $sum;}&sub_max(1,2,3,4,5,6,7,8,9);my @fred = qw{1 3 5 7 9};my $fred_total

2015-06-09 15:22:27 1140

原创 PERL语言入门:第四章:子程序(函数):参数与子程序的私有变量

默认情况下, perl中的所有变量都是全局的。如果要创建私有变量, 可以用my关键字,它能另一个变量局限于子程序或一个语句块中。({ } 为一个语句块)在perl中, 函数的参数会被自动保存到数组变量: @_中, 第一个变量为$_[0], 第二个为: $_[1], 依次类推。root@firecat:~# cat test.pl#!/usr/bin/perl -w

2015-06-09 14:37:39 1392

原创 perl中, 用于stdin时的foreach与while的细微差别

#!/usr/bin/perl -w#foreach与while作用于<>的细微差别print "下面是foreach 对于stdin:";foreach (){ print "$_";}print "下面是while 对于stdin:";while(){ print "$_";}#foreach等到按ctr+d时, 一次输出, #while每次回车都输出一次

2015-06-05 15:18:13 759

原创 MSSQL与MYSQL手工注入时的简单对比

当网站是access或mssql时, 一们一般是猜表名开始:http://www.test.com/test.asp?id=1 and exists(select * from 要猜的表名)当猜出表名时, 我们再猜字段:http://www.test.com/test.asp?id=1 and exists(select 要猜的字段 from 猜对的表名)当以上两步

2015-06-03 15:12:55 1051

原创 一点mysql注入时用到的函数

1:system_user() 系统用户名  2:user()        用户名 3:current_user  当前用户名 4:session_user()连接数据库的用户名 5:database()    数据库名 6:version()     MYSQL数据库版本 7:load_file()

2015-06-03 15:10:40 1416

翻译 sqlmap的POST注入

第一种方式, 就是让sqlmap去自动获取表单:sqlmap -u "http://www.xxxxxxxx.gov.cn/bxcxnew1.aspx" --forms一般情况下就一直按回车就好了。第二种, 爪好POST包后存在一个文件中, 再用 -r 参数读取, 这种方式的好处是不易出错, 当一个页面有多个表单时, 能正确指引。把以上内存复制保

2015-06-03 14:00:21 33934 2

转载 i春秋:日益增多的企业重要资料外泄

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.ichunqiu实验工具:御剑后台扫描工具 实验目的本课程通过对资料/文档外泄的危害演示,来让大家学习应对该种情况时所需要采用的防御策略。实验思路1.扫描目标敏感目录2.发现目录遍历并找到敏感数据库3.

2015-06-01 08:55:34 749

转载 i春秋:账户体系控制不严带来的越权

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.ichunqiu实验工具:帝国.exe 御剑后台扫描工具中国菜刀实验目的本节课程通过对账户体系控制不严/越权操作的演示,让大家了解此种危害,并学习应对此类危害的防御策略。实验思路1.扫描目标敏感目录2.绕过

2015-06-01 08:55:18 2094 1

转载 i春秋:无处不在的SQL注入

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.ichunqiu实验工具:sqlmap注入工具实验目的本节课程通过对SQL注入的演示,让大家了解SQL注入漏洞的方式,并学习应对此种漏洞的防御方法。实验思路手工检测判断注入点利用SQLMap注入数据库获取数据库信息防御

2015-06-01 08:53:08 3672

原创 i春秋:高风险之应用错误配置和默认配置

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:172.16.12.2实验工具:中国菜刀 IISWrite IISPUTScanner实验目的本节课程带领大家了解应用错误配置/默认配置所造成的危害,通过实际演示,学习应对此种危害的防御策略。实验思路1.扫描目标IIS写入权限

2015-06-01 08:50:26 1348

转载 i春秋:揭秘FTP口令安全—利用“hscan”工具的测试

实验环境操作机:Windows XP 目标机:Windows 2003Windows FTP实验工具Hscan实验目的本课程带领大家通过实验使用Hscan破解FTP口令,从而帮助大家提高自身的口令防御能力。实验思路测试主机FTP服务状态使用Hscan图形模式验证FTP口令强度使用Hscan命令模式验证FTP口令强度FTP口令加

2015-06-01 04:21:55 6642

原创 i春秋:警惕您站上的“FCK编辑器”解析漏洞突破检测上传后

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀实验目的本课程带领大家利用“FCK编辑器”解析漏洞突破检测上传后门,进而帮助大家提高自身的漏洞防御能力。实验思路FCK2.6.6版本上传漏洞绕过测试FCK2.4.2版本上传漏洞绕过测试防御方案

2015-06-01 04:17:27 6851

转载 i春秋:通过案例学安全—“FCK编辑器”版本识别及信息收集技

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验目的本课程带领大家学习如何查看“FCK编辑器”的版本并且收集信息,为之后章节利用“FCK编辑器”解析漏洞打下基础。实验思路查看FCKeditor版本信息了解FCKeditor不同版本上传地址

2015-06-01 04:16:02 3624

转载 i春秋:警惕您站上的htaccess文件上传解析漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀实验目的本课程带领大家通过利用上传htaccess文件解析漏洞绕过验证进行上传WebShell,从而使了解到上传WebShell并非难事,需要提高自身漏洞防御能力。实验思路上传正常图片和WEBS

2015-06-01 04:14:27 8312

转载 i春秋:警惕Apache站上的解析缺陷绕过上传漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀实验目的本课程带领大家通过利用Apache解析漏洞绕过验证进行上传木马,从而使了解到上传木马并非难事,需要提高自身防御能力。实验思路上传正常图片和WEBShell利用Apache解析缺陷绕过上传

2015-06-01 04:09:51 11049 1

转载 i春秋:警惕IIS6.0站上的目录路径检测解析绕过上传漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 BurpSuite实验目的本课程带领大家利用IIS6.0目录路径检测解析漏洞,绕过上传检测,获取WEBShell。通过亲身实验,验证获取WEBShell的可行性,从而提高自身的安全防御意识。实验思路

2015-06-01 04:08:59 4826

转载 i春秋:警惕IIS6.0站上的解析缺陷绕过上传漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 BurpSuite实验目的本课程带领大家利用IIS6.0解析漏洞,绕过上传检测,获取webshell。通过亲身实验,验证获取webshell的可行性,从而提高自身的安全防御意识。实验思路上传正

2015-06-01 04:08:04 12657

原创 i春秋:警惕您站上的文件内容检测绕过类上传漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 BurpSuite实验目的本课程带领大家学习利用修改文件内容,绕过上传验证,获取WebShell。通过亲身实验,验证绕过上传验证的可行性,从而提高自身的安全防御意识。实验思路上传正常图片和一句

2015-06-01 04:07:55 4001

转载 i春秋:警惕您站上的空字节截断目录路径检测绕过类上传漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 BurpSuite实验目的本课程带领大家学习通过空字节截断,绕过验证,获取WebShell。使大家亲身验证绕过上传验证的可行性,从而提高自身的安全防御意识。实验思路上传正常图片和WEBShel

2015-06-01 04:07:13 4344

转载 i春秋:警惕您站上的文件扩展名绕过漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀实验目的本课程带领大家学习利用通过修改文件扩展名,绕过上传验证,获取WebShell。通过亲身实验,验证绕过上传验证的可行性,从而提高自身的安全防御意识。实验思路上传正常图片和WebShell修

2015-06-01 04:02:10 1859

转载 i春秋:警惕您站上的MIME类型绕过漏洞

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 burp实验目的MIME的作用:使客户端软件,Web服务器使用MIME来说明发送数据的种类, Web客户端使用MIME来说明希望接收到的数据种类。本课程带领大家了解MIME头部信息过滤不严带来的严重后果以及防御方法,使大

2015-06-01 04:01:17 2418

转载 i春秋:通过案例学安全—再现杰奇网站漏洞环境

实验环境实验环境操作机:Windows XP 目标机:Windows 2003目标网址:www.test.com实验工具:中国菜刀 firebug实验目的本课程带领大家学习利用JS验证绕过杰奇CMS1.7上传验证,获取WebShell。课程旨在教会大家提高自身的安全防御意识的同时,学会修补漏洞。实验思路找到上传功能尝试上传

2015-06-01 03:56:29 5789 1

原创 网络扫描工具:nikto简单介绍

root@firecat:~# nikto -H Options: -ask+ Whether to ask about submitting updates yes Ask about each (default) no

2015-06-01 01:03:47 921

原创 perl好玩的编程1:随机数生成

准备写一点好玩的东东。

2015-05-29 02:44:07 1155

原创 PERL语言入门:第四章:子程序(函数) :调用子程序与子程序返回值

调用子函数, 这样:&SUMDATA;或&SUMDATA($a, $b);当然, 有些情况可以省略&号或括号:SUMDATA($a, $b);SUMDATA $a, $b (这种情况要前面先定义了才行)函数的返回值:在perl 中函数返回值为最后一条语句的返回值:sub SUMDATA{ $a + $b; #这里的$a+$b为返回值}sub SUM

2015-05-29 02:33:25 4396

原创 PERL语言入门:第四章:子程序(函数)

写一个简单的函数。 用于计算两个数的和。 1 #!/usr/bin/perl -w 2 #定义一个子程序, 用于两数相加 3 sub SUM(){ 4 my $sum=$_[0]+$_[1]; 5 print "$_[0] + $_[1] = $sum\n"; 6 } 7 8 while(1){ 9 c

2015-05-29 02:13:55 698

原创 PERL语言入门:第三章:列表与数组:习题3

输入一串字符串(每行一个串), 之后输出:1. 一整行输出, 在每个之间加空格2. 分行分别输出#!/usr/bin/perl -w#获取字符串chomp(@db=);#下面为一行输出整个数组print "@db\n";#下面为分行输出每个元素#for $index (0..$#db){# print "$db[$index]";# print "\n";#}

2015-05-29 01:54:13 537

原创 PERL语言入门:第三章:列表与数组:习题2

输入数字, 并输出对应的字母#!/usr/bin/perl -w#先建一个数据库@test = ('a'..'z');@db = ();print "请输入一串数字:";$number = ;while($number > 0){ $index = $number%10; #print "$test[$index-1]\n"; unshift @db, $test[$

2015-05-29 01:40:05 433

原创 PERL语言入门:第三章:列表与数组:习题1

输入一些字符串, 并输出。#!/usr/bin/perl -w#读入字符串并输出chomp(@test=);print "@test\n";print "Now let me reversed the list.\n";print ((reverse @test)."\n");//反向输出字符串

2015-05-29 01:33:04 527

原创 PERL语言入门:第三章:列表与数组:sort, reverse用法

#!/usr/bin/perl -w#reverse 反序一个数组或列表#sort 排序数组#注意,这两个函数并不会修改原数组, 要得到调整后的数,请另保存@test = qw/user root localhost password etc passwd/;print "@test\n";#my @a = sort @test;#print "@a\n";print ((sor

2015-05-25 02:59:35 6534

原创 PERL语言入门:第三章:列表与数组:foreach, $_, each用法

#!/usr/bin/perl -w#foreach输出数组或列表#$_为 PERL的默认变量, 当foreach不设置参数时, 默认保存到$_中#eg.@array = qw/path user login passwd test/;print "数组\@arry值为:@array\n";print qq/用foreach输出数组:\n/;#注意这里的数组要用括号括住才行fo

2015-05-24 05:12:27 13326 1

原创 PERL语言入门:第三章:列表与数组:pop,push, shit, unshit, splice函数

#!/usr/bin/perl -l#列表赋值时,记得加括号#左边比右边多, 多出来的会被赋于undef#右边比左边折, 多出来的会被忽略@array = 2..9;pop @array or pop (@array)//如果加不加括号不影响的话,perl中可以不加push @arraypop出从尾部弹出, push为从尾部放入shit/unshitsh

2015-05-24 04:47:02 2048

原创 PERL语言入门:第三章:列表与数组:访问数组元素与特殊索引

#!/usr/bin/perl -w#下面定义了三个数组$test[0] = 'black';$test[1] = "gteen";$test[2] = "red";print qq/打印自定义的三个数组:\n/;print "@test\n";print @test,"\n";#上面的打印, 说明加""与不加是有区别的, 加了的话默认在元素中加空格print q/打印$tes

2015-05-24 03:36:36 2009

原创 python3 no.6 字符串的查找与替换

#!/usr/bin/env python3'''题目:创建三个函数: 函数1, 从指定字符串里从前面查找指定单个字符 函数2, 从指定字符串里从后面开始查找指定单个字符 函数3, 输入两个字符串(一个要替换的, 二个被替换的), 从指定字符串里面进行替换 (不能用string.*find()或string.*index函数和方法'''def showmenu():

2015-03-05 02:21:21 758

原创 python3第6章 6.1简单的标识符检查

#!/usr/bin/env python3#python3标识符要求是以字母或下划线开始, 后面要跟字母,下划线或者数字#这是一个简单的程序, 主要是检查前面两个import string#开头的一个字符是下划线或字母,所以, 如下:start_string = string.ascii_letters + '_'#第二个可以是字母, 数字, 下划线, 三种中的一种, 如下:t

2015-02-26 02:46:46 418

原创 第4章 no.4.4 检查类型

#!/usr/bin/env python3def displaynumbertype(number): print(number ,'is ', end = '') if isinstance(number,int): print('a number of type:', type(number).__name__) else:

2015-02-25 04:26:28 417

原创 关于metasploit下连接数据库问题

先启动postgres数据库:root@firecat:~# service postgresql start [ ok ] Starting PostgreSQL 9.1 database server: main.root@firecat:~# 再启动metasploit:root@firecat:~# service metasploit start最后再

2015-02-25 04:19:44 4757

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除