- 博客(13)
- 收藏
- 关注
RSS订阅原创 SQL注入之SQLMap
Sqlmap是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。
2023-07-24 10:09:00
1213
原创 SQL注入之高权限注入
mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,我当前的版本mysql 5.7.22。mysql权限表的验证过程为:先从user表中的 Host , User , Password 这 3 个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。
2023-07-24 10:05:34
242
原创 WEB漏洞-查询方式及报错注入
1.布尔型盲注根据页面返回的真假来判断的即为布尔型盲注2.时间型盲注根据页面返回的时间来判断的即为时间型盲注3.报错型盲注:根据页面返回的对错来判断的即为报错型盲注。
2023-07-23 17:41:44
526
原创 upload-labs通关
查看源码可以发现使用了getimagesize()函数对图片进行检验,getimagesize()的作用是该函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。本关会将上传的图片重新另存一份,所以图片中的php代码会消失。, 是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。
2023-07-23 17:08:23
530
原创 天眼-流量传感器(使用部署)
天眼流量传感器采用旁路部署模式对网络镜像流量进行采集,解码还原转换为流量日志并加密传输给天眼分析平台,镜像流量中的文件还原后加密传输给天眼文件威胁鉴定器进行检测。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持HTTP/HTTPS 、FTP、TFTP、SMB、NFS.SMTP/POP3/IMAP/WEBMAIL等主流协议的高性能分析。
2023-06-10 17:15:39
2997
原创 网络安全的基础术语(小迪安全-day01)
方便记忆的网站的名字,比如IP地址:110.242.68.66对应着域名:baidu.com, 由于不方便记忆并且不能显示地址组织的名称和性质,人们设计出了域名,并通过域名系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。IP地址和域名是一一对应的。一级域名也叫顶级域名,如:baidu.com,它又分为下面两类 机构类型-> .com/.org/.cn。
2023-06-04 22:48:16
965
1
原创 Apache Shiro流量特征及漏洞利用
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
2023-06-02 20:39:10
1450
原创 使用hydra进行SSH爆破
mobaxterm 的功能非常全面,几乎提供了所有重要的远程网络工具(比如 SSH、X11、RDP、VNC、FTP、MOSH 等),以及 Windows 桌面上的 Unix 命令(bash、ls、cat、sed、grep、awk、rsync 等),登录之后默认开启 sftp 模式。命令的意思是:使用bin.bash里面的shell,用nc命令反弹shell,反弹到攻击机的7777端口,-e代表需要执行的指令,这里是要执行/bin/bash。发现通过计划任务执行了bash/tmp下面的task.sh文件。
2023-06-02 20:29:17
6562
2
原创 eval()函数的作用
eval()只有一个参数,如果传入的参数不是字符串,它直接返回这个参数;如果传入的参数是字符串,它会把字符串当成JavaScript代码进行编译。若编译失败则抛出一个语法错误(syntaxError)异常。若编译成功则开始执行这段代码,并返回字符串的最后一个表达式或语句的值,如果最后一个表达式或语句没有值,则最终返回undefined。如果字符串抛出一个异常,这个异常将把该调用传递给eval()。在使用PHP写一个简易计算器的时候,出现了eval()函数,对他的用法不是很清楚,在这里浅浅的记一笔。
2023-06-02 20:19:12
77
原创 天眼设备的协议字段及语法
在该页面可以查看告警日志、网络日志、终端日志以及第三方日志等。告警日志:威胁告警、webshell上传、网页漏洞利用、网络攻击、威胁情报告警、沙箱检测告警、邮件威胁检测告警、蜜罐告警、网神云锁网络日志:web访问、TCP流量、文件传输、域名解析、SSL加密传输、数据库操作、FTP控制通道、登录动作、网络异常报文、LDAP行为、邮件行为、MQ流量、网络阻断、TeInet行为、UDP流量终端日志:IM文件传输、邮件附件传输、DNS访问审计、终端进程信息、U盘文件传输。
2023-06-02 20:16:09
3773
原创 Java中的持有关系(组合关系)
第一种、假设老师类持有学生类,学生类持有宠物类,并为学生类添加一个遛狗的方法第二种、假设有丈夫和妻子两个类,其中丈夫和妻子是一对一关系。 特别注意:如果是相互持有的关系,每一个类中不能写全参的构造函数,将相互持有的对象采用对象.属性的方式进行给出。...
2022-07-12 23:06:01
437
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人