- 博客(18)
- 资源 (4)
- 收藏
- 关注
RSS订阅转载 关于 Content-Type:application/x-www-form-urlencoded 和 Content-Type:multipart/related
最近项目中用到的一个是用一个页面接收c程序post过来的一断字符串..总接收不到值...我用C#写一个测试可以正常接收到值.最后抓包比较 区别只是Content-Type:application/x-www-form-urlencoded 和 Content-Type:multipart/related查资料得: application/x-www-form
2013-03-30 11:28:29
957
转载 php preg_match_all preg_match 的用法详解
个例子),就是说模式(正则表达式)可以出现在被检验字符串的任何地方,你没有把他锁定到两边。第二,这里还有几个字符‘*’,‘+’,和‘?’, 他们用来表示一个字符可以出现的次数或者顺序. 他们分别表示:"zero or more", "one or more", and "zero or one." 这里是一些例子:"ab*": 匹配字符串a和0个或者更多b组成的
2013-03-29 21:32:40
1475
转载 国外黑客们的入侵网站思路
问题的答案看起来不那么确定,显而易见的是黑掉一个站点有很多种方法。在这篇文章,我们的目标是要给大家展示一下黑客是如何锁定并黑掉一个目标站点的!让我们来看看目标站点:hack-test.com先ping下站点所在服务器的IP:现在我们有了目标站点所在服务器的IP了 — 173.236.138.113然后我们可以找找同个IP上的其他站点(旁站:samei
2013-03-28 16:23:55
4799
转载 使用Burpsuite辅助Sqlmap进行POST注入测试
原文:http://www.freebuf.com/tools/2311.html辅助:http://club.freebuf.com/?/question/154我们在使用Sqlmap进行post型注入时,经常会出现请求遗漏导致注入失败的情况。这里分享一个小技巧,即结合burpsuite来使用sqlmap,用这种方法进行post注入测试会更准确,操作起来也非常容易。1
2013-03-28 16:04:28
2534
转载 sqlmap使用笔记
-u #注入点-f #指纹判别数据库类型-b #获取数据库版本信息-p #指定可测试的参数(?page=1&id=2 -p “page,id”)-D “” #指定数据库名-T “” #指定表名-C “” #指定字段-s “” #保存注入过程到一个文件,还可中断,下次恢复在注入(保存:-s “xx.log” 恢复:-s “xx.log” –resume)–colum
2013-03-28 00:36:40
690
转载 在Windows XP上安装和运行SqlMap的步骤
1、首先下载SqlMap 2、其次下载用于Windows系统的Python ……点击这里……3、然后安装Python:Python默认安装的路径是“C:\Python”(你也可以修改安装路径,但要记住路径),直接默认安装“下一步”OK … :)4、解压SqlMap.zip里面的文件…5、找到你安装python的目录(对于我来说:C:\Python27中)6、
2013-03-27 23:45:31
1231
转载 MYSQL宽字节注入漏洞详解
一、热身在 介绍这个漏洞之前,有必要先明白一个概念——宽字节注入。宽字节注入是相对于单字节注入而言的。单字节注入就是大家平时的直接在带有参数ID的URL后面 追回SQL语句进行注入。比如:http://www.hackest.cn/article.php?id=1 and 1=1/*http://www.hackest.cn/article.php?id=1 and 1=2/*这个
2013-03-27 03:17:08
1643
转载 get post注入原理
get post注入原理一般的http请求不外乎 get 和 post两种,如果过滤掉所有post或者get请求中的参数信息中的非法字符,那么也就实现了防SQL注入。 首先定义请求中不能包含如下字符: '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
2013-03-19 01:35:07
2552
转载 Base64变形注入
什么是注入?估计有点基础的人都会反问,你傻逼吧,问这么傻逼的问题,把自己的SQL语句插入到原程序中,操作数据库。你的注入熟吗?常在论坛逛的人都会反问,你傻逼吧,问这么傻逼的问题,论坛这么多关于注入的文章,怎么可能不会,工具注手注无所不会。那么你知道Base64变异注入吗?这下轮到你傻逼了吧?不知道,而且工具也没这么个功能,或者说,闻所未闻。如果你感觉对SQL手工注入已经很熟了,看看这篇文章
2013-03-19 01:33:32
2613
转载 一次简单的POST注入测试
作者:Beginne(cnm@Dis9.com) & Dis9Team在论坛看到了炊少的 记录 Mssql注入点构造 一文 ,里面介绍了构造MSSQL + ASP 的GET注入和POST注入的两种方式,今天没事干,所以玩了一下子,把记录贴了出来关于构造自己看上面的原文吧,首先说这个注入是一定存在的抓包分析观察提交页面源码,看看是什么方式提交form name="frmL
2013-03-19 01:32:09
2442
转载 mysql一句话导出shell
很老的东西了,但是很多时候会派上用场mysql一句话导出shellUSE test;# MySQL 返回的查询结果为空(即零行)。DROP TABLE IF EXISTS hello;# MySQL 返回的查询结果为空(即零行)。CREATE TABLE hello(cmd TEXT NOT NULL);# MySQL 返回的查询结果为空(即零行)。I
2013-03-15 14:59:54
1173
转载 ACCESS数据库后台sql语句执行导shell
问:一个垃圾论坛,access数据库,无其他可利用之处,不过有个sql语句执行功能,绝对路径也知道,小弟对sql语句不懂,记得如果是mysql数据库root权限可以导出SHELL,这个是否也能导出shell呢?需要什么条件,语句又是什么?网上翻不到资料。麻烦各位。答:create table cmd (a varchar(50))insert into cmd (a) values
2013-03-15 14:56:16
783
转载 利用MS08067远程溢出漏洞抓肉鸡
就笔者个人经验来说,现在的Linux(一)MS08067服务RPC在 Microsoft Windows 2000系统上,攻击者可能未经身份验证即可利用此漏洞运行任意代码,此漏洞可用于进行蠕虫攻击,目前已经有利用该漏洞的蠕虫病毒。防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击,默认情况下能建立空连接。MS08-067(二)MS08067端口、445下面扫
2013-03-14 22:13:10
5198
转载 突破Sql防注入过滤
现在网上流传很多防注入代码。这些真的有用吗?这是在网上找的一个防注入代码dim sql_injdata ,SQL_inj,SQL_Get,SQL_Post,SQL_Cookies,SQL_Data SQL_injdata = " if stopwords SQL_injdata= SQL_injdata&"|"&stopwords end if
2013-03-14 10:59:09
596
转载 一个注射点,一个webshell甚至系统权限
————只要给我一个注射点,无论什么权限,我都给你一个webshell甚至系统权限声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责。因为发觉其危害过大,原文已经经过大量删减及修改,即使这样本文的危害性仍然很大,所以请大家不要对国内的站点做任何具有破坏性的操作。考虑再三,偶还是决定发出来。此招手段歹毒,利用范围广泛,可以说是只要是有sql注射漏洞的网站,只
2013-03-12 03:05:16
661
转载 一次完整的安全渗透测试
原文:http://www.cnblogs.com/lzhdim/archive/2009/03/12/1408718.html网络渗透测试就是利用所有的手段进行测试,发现和挖掘系统中存在的漏洞,然后撰写渗透测试报告,将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补,本次渗透测试算是针对aspx类型的网站系统的一个补充。下面是整个渗透过
2013-03-12 01:07:10
1946
转载 黑客注入攻击入门
题记:这是我一年前应邀为《黑客X档案》07年合订本的小手册写的文章,很适合初学的朋友,高手飘过…… 转载请注明版权:http://a1pass.blog.163.com/ A1Pass 《黑客X档案》 各位X迷、黑迷与菜鸟同志们,大家好!不知道你是否为看不懂高手们的文章而苦恼呢?不用担心!今天这篇文章就是我我专门为想入门而无路的朋友写的,只要你认真读完这篇
2013-03-03 02:00:46
2513
转载 通杀IIS7.0畸形解析0day漏洞
先合并一张PHP一句话图片马,合并方法:①、DOS合并:copy 1.gif /b + 1.txt/a asp.gif②、用edjpgcom,进行图片和一句话木马的合并,图片随便找一张.【顺带着说一下edjpgcom的使用方法:打开edjpgcom.exe所在文件夹,然后把你所要修改的图片拖动到edjpgcom.exe上面,然后edjpgcom.exe会自动
2013-03-01 10:58:35
1047
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人