渗透测试
文章平均质量分 94
tomyyyyy
这个作者很懒,什么都没留下…
展开
-
反序列化漏洞
反序列化原理介绍序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。漏洞成因序列化...原创 2021-03-26 13:10:00 · 468 阅读 · 0 评论 -
反弹shell
反弹shell参考安全客文章简介我们在渗透测试的过程中经常会遇到linux主机环境,而在获取linux主机shell是我们经常需要做的是工作内容之一,其中经常会遇到以下几个场景。一、场景一我们已经拿下主机的一个webshell,我们想获取一个可以直接操作主机的虚拟终端,此时我们首先想到的是开启一个shell监听,这种场景比较简单,我们直接使用使用nc即可开启,如果没有nc我们也可...原创 2020-11-02 14:10:00 · 444 阅读 · 0 评论 -
CSRF漏洞
CSRFcsrf的原理与危害CSRF (Cross Site Request Forgery),中文全称跨站点请求伪造。攻击者盗用了受害者的身份,以受害者的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作。以两个例子说明,案例一:一个银行站点存在一个csrf漏洞,用户A转账给B用户2000元,执行转账操作后会对银行发送一次请求:http://ww...原创 2021-03-26 13:20:00 · 359 阅读 · 0 评论 -
渗透测试——搜索引擎
渗透测试——搜索引擎Google介绍谷歌作为最大的搜索引擎,利用其强大的搜索能力可以方便快捷的找到我们需要的信息,例如:子域名、后台管理地址、敏感信息、以及可能存在漏洞的网页通配符通配符语义说明示例+包含关键词+前面必须有一个空格admin +login-排除关键词-前面必须有一个空格mysql -csdn~同义词~前面必须有一个空格...原创 2020-11-02 12:08:00 · 1390 阅读 · 0 评论 -
sqlmap使用详解
文章目录简介基本使用全部参数说明简单使用注入流程sqlmap使用技巧修改最大线程数sqlmap速度优化指定位置注入检测waf执行操作系统命令(--os-shell/--os-cmd)操作文件绕WAF的技巧使用参数绕过使用tamper绕过tamper种类mysql绕过MSSQL绕过access绕过Oracle绕过参考文档简介sqlmap 是一款自动化检测与利用 SQL 注入漏洞的免费开源工具。目前可以检测用来于检测利用五种不同类型的 SQL 注入布尔型盲注(Boolean-based blind)原创 2021-04-13 16:36:34 · 1025 阅读 · 2 评论