- 博客(5)
- 收藏
- 关注
RSS订阅原创 Apache Solr Velocity模块漏洞复现
10月31日发现的apache solr的最新漏洞,经过测试该poc真实有效,且危害性高。poc地址:https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt漏洞原理:攻击者可以直接访...
2019-11-01 22:04:53
272
原创 XSS的构造与变形
※XSS:XSS 是OWASP TOP10之一的漏洞,被称为跨站脚本攻击,是发生在服务器的漏洞,常出现于微博、留言板、聊天室等手机用户输入的地方,都有可能被注入XSS代码。※XSS的构造(现在有三种方法)1.利用<>构造HTML/JS在测试页面,提交参数<script>alert(xss)</script>2.伪协议使用JavaScr...
2019-10-14 19:40:06
1230
2
原创 基于dvwa平台的手工sql注入(级别:low)
首先进入dvwa平台的sql injection页面。在user id中提交:1 此时在url中显示出了?id=1,数据库的信息显示到页面上了,有回显。在url中提交id=1' 页面报错将后面的语句通过--+注释掉,此时页面正常显示。我们可以知道漏洞参数是:id我们要进行的是 “字符型漏洞” 注入。以上信息确定好后,我们可以进行联合查询。首先使用orde...
2019-10-13 15:47:14
853
原创 hydra爆破
简单介绍一下本款软件:hydra也称九头蛇,是一个支持众多协议的爆破工具,且Windows/Linux环境下都支持(个人认为在linux环境下更好用),且本软件已经集成到kali系统中,所以一下所有示例都在kali系统下完成。hydra官网:http://www.thc.org/hydra使用在线破解的方式进行账号密码认证,通常有一下几种情况:1.用户名未知,密码未知。2.用户名已知,密码...
2019-10-10 16:39:07
3702
1
原创 nmap简单的扫描主机和端口
扫描技术的作用:提高效率。主要用于资产发现,可以发现目标环境中有哪些联网设备,主机,服务器和服务...扫描神器---nmap https://nmap.org/ ※如果使用kali中的nmap建议使用桥接模式Nmap的介绍:Nmap有三个,一是探测一组主机是否在线,其次是扫描主机端口,嗅探所提供的网络服务,再就是可以推断主机所用的操作系统。扫描主机1.简单的扫描---该...
2019-10-10 12:30:09
10665
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人