- 博客(19)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 weblogic 安装部署详解
0x01 weblogic下载安装去Oracle官网下载Weblogic 10.3.6,选择Generic版本,各版本选择下载地址:http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.htmlWeblogic 10.3.6 下载地址:http://download.orac...
2018-06-28 19:53:00
25636
1
原创 我的WAF Bypass实战系列
梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,汇总成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下。 WAF Bypass第一篇:《BypassD盾IIS防火墙SQL注入防御(多姿势)》第二篇:《Bypass X-WAF SQL注入防御(多姿势)》第三篇:《Bypass ngx_lua_waf SQL...
2018-06-25 12:30:45
700
3
原创 获取指定ip段的所有存活主机的主机名和操作系统
获取指定ip段的所有存活主机的主机名和操作系统 https://jingyan.baidu.com/article/ceb9fb1089fd948cad2ba000.htmljava探测局域网存活 https://blog.csdn.net/weixin_37272286/article/details/80150886使用 Pyt...
2018-06-21 13:23:00
895
原创 中间件安全加固之Jboss
JBoss 的安全设置1) jmx-consoleA、jmx-console登录的用户名和密码设置默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx-console也必须要知道用户名和密码才可...
2018-06-19 11:08:00
289
原创 window下JBoss7 安装部署
0x01 下载安装1、下载地址: http://www.jboss.org/jbossas/downloads2、解压缩:选择一个安装目录解压 jboss-as-7.1.1.Final.zip3、设置JAVA环境变量如下:变量名:JAVA_HOME变量值:C:\Program Files (x86)\Java\jdk1.8.0_91 // 要根据自己的实际路径配置...
2018-06-18 17:01:00
1700
原创 Window日志分析
Window日志分析 0X00 简介 0x01 基本设置 A、Windows审核策略设置前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。打开设置窗口 Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图...
2018-06-17 13:38:00
462
原创 Apache安全配置基线指导
Apache安全配置基线指导 搜索关键词:Apache安全配置基线指导 参考链接:windows服务器下Apache 的降权https://www.landui.com/help/show-1749.html posted @ 2018-06-14 00:2...
2018-06-14 00:23:00
368
原创 dedeCMS解码
dedeCMS解码 var str = 'arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]...
2018-06-13 14:02:00
381
原创 日志分析技巧
溯源工具推荐工具:EmEditor下载地址:https://zh-cn.emeditor.com正版激活密钥:DMAZM-WHY52-AX222-ZQJXN-79JXH如何用EmEditor对整个文件夹进行查找?1、在搜索菜单中,选择“在文件中查找”2、选择查找的文件内容,文件类型,文件夹位置,点击查找3、搜索效率还是很快的,4G的日志,不...
2018-06-11 11:07:00
615
原创 利用开源软件打造一个团队贡献平台
0x00 前言 最初的想法是打造一个团队内部社区,方便进行技术交流、沉淀、分享。在网络上,找到了一款开源系统,开源团队内部贡献平台Mooder,很大程度上满足了这样一个需求。Mooder的核心理念的“贡献知识“,是我最认可的地方,系统简约、强大,以及它的邀请码机制、奖励机制,一句话来说,就是很wooyun的样子。 0x01 源码安装 Mooder是一款开源、安全、简洁...
2018-06-11 08:51:00
633
2
原创 我的WAF Bypass实战系列
梳理了一下自己写过的WAF Bypass相关的文章,按照编写时间顺序,整理成了一个WAF Bypass实战系列,如果你准备了解WAF攻防这一块的内容,可以来了解一下。 第一篇:《BypassD盾IIS防火墙SQL注入防御(多姿势)》 原文地址:http://www.cnblogs.com/xiaozi/p/7357937....
2018-06-10 23:27:00
1309
原创 Web暴力破解--前端JS表单加密进行爆破
0x01 前言 常见的js实现加密的方式有:md5、base64、shal,写了一个简单的demo作为测试。0x02 代码login.html<!DOCTYPE HTML> <html> <head> <meta charset="utf-8"> <title>用户登录</title>
2018-06-09 17:59:00
3917
1
原创 IIS6独立用户建立网站的方法,提高网站安全性
在Windows server 2003系统下,用IIS架设Web服务器,合理的为每个站点配置独立的Internet来宾账号,这样可以限制Internet 来宾账号的访问权限,只允许其可以读取和执行运行网站所的需要的程序。如果为网站内的网站程序、图片、附件或数据库等的文件分配合理、严格的读取、写入、修改、执行等权限,可以禁止访问该网站的用户访问其它目录和执行危险的命令,以防范通过上传...
2018-06-06 11:09:00
211
原创 Bypass 护卫神SQL注入防御(多姿势)
0x00 前言 护卫神一直专注服务器安全领域, 其中有一款产品,护卫神·入侵防护系统 ,提供了一些网站安全防护的功能,在IIS加固模块中有一个SQL防注入功能。这边主要分享一下几种思路,Bypass 护卫神SQL注入防御。0x01 环境搭建护卫神官网:http://www.huweishen.com软件版本:护卫神·入侵防护系统 V3.8.1 最新版本下载地址:http://down.huw...
2018-06-05 09:56:32
1598
1
原创 Bypass 360主机卫士SQL注入防御(多姿势)
0x00 前言在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御。0x01 环境搭建360主机卫士官网:http://zhuji.360.cn软...
2018-06-04 13:54:39
2414
1
原创 打破基于OpenResty的WEB安全防护(CVE-2018-9230)
原文首发于安全客,原文链接:https://www.anquanke.com/post/id/1037710x00 前言 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。OpenResty官网:https://openresty.org漏洞编号:CVE-2018-9230漏洞简...
2018-06-04 12:59:12
9535
1
原创 Bypass X-WAF SQL注入防御(多姿势)
0x00 前言 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。0x01 环境搭建官网:https://waf.xsec.iogithub源码:https://github.com/xsec-lab/x-wafX-WAF下载安装后,设置反向代理...
2018-06-04 11:46:19
721
原创 Bypass D盾_IIS防火墙SQL注入防御(多姿势)
0X01 前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路:a、白名单...
2018-06-04 11:45:34
1221
1
原创 Bypass ngx_lua_waf SQL注入防御(多姿势)
0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则:select.+(from|limit)(?:(union(.*?)select))(?:from\W+information_schema\W)这边主要分享三种另类思路,Bypass ngx_lu...
2018-06-04 11:43:34
1543
AD域内委派后门详解-1
2023-06-19
三步轻松理解Kerberos协议
2023-06-19
应急响应实战笔记_2020最新版.pdf
2020-06-24
WAF攻防实战笔记v1.0--Bypass.pdf
2020-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人