- 博客(5)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 metepreter命令
https://xz.aliyun.com/t/2536meterpreter后渗透命令background 将会话切换到后台sessions -lsessions -i 2 启动一个shell或一个meterpretersessions -k 2 杀死shellupload /root/桌面/payload.txt c:edit payload.txtcat ls c: ...
2020-04-14 17:02:00
1044
原创 Webshell检测
即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。 最好的方式就是做文件完整性验证。 1、文件MD5校验,将所有网站文件计算一次hash值保存,当出现应急情况时,重新计算一次hash值。2、通过一行命令快速找出两个项目文件的差异 diff -c -a -r cms1 cms23、版本控制工具,如git、svn,git diff,或者在历史提...
2020-04-14 14:52:05
758
原创 xml格式的xss注意事项
XXE注入漏洞现在,有了以上的了解认识之后,我们回到实际的漏洞测试中来。目标Web应用接收通用类型文件的上传、解压、XML清单文件解析,之后会返回一个包含XML清单信息的确认页面。比如,如果ZIP文件mypackage.xyz包含以下manifest.xml清单文件:<?xml version="1.0"?><packageinfo> ...
2020-04-14 14:14:39
2071
原创 html随笔
h标签 id 属性id =“跳转第一个标题”a标签href 跳转路径本页内跳转 如 href="#跳转第一个标题"或href=“#跳转第二个标题”跨页面跳转 如title 悬停标题target 设置新网页打开位置 如_blank新窗口打开 不设置,在当前窗口打开name="跳转第二个标题"a标签可包含img标签如<a href=""><img sr...
2020-04-14 13:42:17
120
转载 jsonp劫持漏洞
第一次遇到了jsonp劫持漏洞,并且通过此漏洞绕过token进行成功的csrf攻击,仅以此文进行记录分享。JSONP什么是jsonp?Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP的语法和JSON很像,简单来说就是在JSON外部用一个函数包裹着。JSONP基本语法如下:cal...
2020-04-14 13:37:20
3199
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人