mysql绕过360_360webscan 防注入绕过(HPF)

最新推荐文章于 2021-08-13 18:30:21 发布
最新推荐文章于 2021-08-13 18:30:21 发布
阅读量1.1k 收藏
点赞数 1
文章标签: mysql绕过360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32258691/article/details/113955729
版权
本文探讨了如何绕过360 webscan的SQL注入防护,通过HTTP Parameter Fragmentation技术,将注入 payload 分割到不同的参数中,避免正则匹配,从而实现SQL注入。同时,提到了利用INSERT INTO...SET语法规避规则检测的方法。
摘要由CSDN通过智能技术生成

生活总是需要一点新的色彩,最近看Mysql基于数据类型溢出的报错注入,又重新燃起了我以前对SQLi的激情。感觉自己还是很喜欢这个东西的。发现凡是 能和“绕过”有关系的(想了想,还真不包括那些硬件DEP ASLR啥的哈,脑子不够用 那个真爱不起)东西我都很喜欢,而且欲罢不能。所以找回来了之前绕过360webscan时的那个文件,看看防注入是否也能绕过(当然,这个已经被@phith0n利用$_SERVER[‘PHP_SELF’]那块的缺陷绕过了一次 ,我这个是另外一个故事).下面是这个兼备了防注入和防XSS功能的防御文件的正则部分:

//拦截get

$getfilter = "\\b(alert\\(|confirm\\(|prompt\\()\\b|]*?\\b(onerror|onmousemove|onload|onclick|onmouseover)\\b[^>]*?>|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|

//拦截POST

$postfilter = "\\b(alert\\(|confirm\\(|prompt\\()\\b|]*?\\b(onerror|onmousemove|onload|onclick|onmouseover)\\b[^>]*?>|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA

最低0.47元/天 解锁文章
煌煌不安
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360webscan.php,360webscan御脚本绕过
weixin_34070493的博客
03-11 489
1:之前的漏洞描述里面有点知识理解错了,但是不影响结果,测试下360webscan的看能不能搞定2:在正则表达式里面,\s的理解有如下字符,在php,python以及c下面测试结果均为:0x09,0x0a,0x0b,0x0c,0x0d,0x20如下6个字符,3:在如下帖子中知名,mysql理解的whitespace有如下字符: 0x09,0x0a,0x0b,0x0c,0x0d,0x20,0xa0h...
webscan bypass和Sql注入的笔记
weixin_43952190的博客
06-19 512
一. 360webscan bypass 绕过360webscan的方法 1. php_self白名单绕过 原理: $webscan_white_directory='admin|\/dede\/|\/install\/'; php_self中含有 admin或者 /dede/ 或者 /install/时,不过滤字符。 测试: 在urlpath之后添加 /admin ,/dede/ ,/install/之后不拦截 2. white_url白名单绕过 原理: $webscan_white_url =
Php如何过360拦截,PHP常见漏洞修复文件-360漏洞修复插件
weixin_30368405的博客
03-10 400
主要对常见的漏洞进行拦截,如:SQL注入漏洞、检测POST数据、XSS漏洞护等,效果非常不错,值得拥有。1、下载:360漏洞修复插件2、解压后,上传整个文件夹至服务器根目录3、if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){require_once($_SERVER['DOCUMENT_ROOT'].'/360sa...
360webscan注入脚本全面绕过
公众号shadow sock7
06-12 6079
参考: https://www.leavesongs.com/PENETRATION/360webscan-bypass.html http://www.moonsec.com/post-687.html http://www.mayter.cn/t/6927
360 网站服务器漏洞扫描,360Webscan
weixin_39812142的博客
08-13 1573
360Webscan,云探安全监测系统是遵循360在总结多年市场经验和客户需求基础上提出的一款面向党政军、金融、教育和互联网用户的基于SaaS的网站应用安全监测服务产品,依赖于360安全大脑,以及360在搜索、终端 安全、网站安全等方面积累的数亿用户群和海量数据,可有效监测网站的异常,持续挖掘网 站风险,充分预警各类网站安全事件,为用户提供网站漏洞扫描、网页篡改监测、网页挂马监测、黑词/暗链监...
RR_HPF.rar_HPF_HPF调度_基于优先级_时间片轮转算法_调度算法
09-19
本文将深入探讨两种常见的调度算法:时间片轮转算法(RR)和基于优先级的调度算法(HPF)。这两种方法在多任务环境下都有其独特的优点和适用场景。 首先,我们来看时间片轮转算法(RR)。该算法的核心思想是将所有...
HPF_multisim;HPF_
09-29
高通滤波器(High-Pass Filter,HPF)是一种能够允许高频信号通过,而衰减或阻止低频信号的电路。在这个场景中,我们讨论的是使用Multisim软件来设计和仿真一个高通滤波器的过程。 Multisim是一款广泛使用的电路...
LVM_FO_HPF.rar_The First
09-14
标题 "LVM_FO_HPF.rar_The First" 指涉的是一个关于低通滤波器(Low Pass Filter)一级系数计算的程序文件。在IT领域,低通滤波器是信号处理中的一个重要概念,它允许低频信号通过而衰减高频信号,常用于去除噪声、...
LCD显示温度+串口接收温度.zip_HPF_PSP_串口接收温度_多点温度_组态王 单片机
09-20
LCD显示温度+串口接收温度xxxx不要管后面本文介绍了简易集散温度控制系统,系统为两层结构,上位机用组态王软件完成对下位机的监控。下位机利用数字温度传感器DS18B20 ,结合单片机组成传感器网络,设计了相关的硬件和...
LPF-HPF-ED.rar_HPF
09-22
标题中的"LPF-HPF-ED.rar_HPF"暗示了这个压缩包包含了与低通滤波器(LPF)、高通滤波器(HPF)以及边缘检测(Edge Detection)相关的材料,主要关注HPF。标签“hpf”进一步确认了我们将探讨的重点是高通滤波器。 在...
绕过360全套+云锁提权.pdf
03-06
绕过360全套+云锁提权.pdf
360webscan后门查杀php专版
04-18
自用的,360webscan后门查杀php专版,3个文件均能扫描,上传到网站根目录下运行
360webscan解决xss漏洞
05-26
解决360检查wordpress的xss漏洞问题
sql 注入 绕过 waf
3569
07-01 4249
https://notwhy.github.io/2018/06/sql-injection-fuck-waf/0x0 前言 0x1 注入点检测 0x2 bypass waf 0x3 自动化0x0 前言  这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波...
xss绕过学习
Websec
04-06 285
参考文章:https://www.secpulse.com/archives/59497.htmlEXIT XSS是一个新姿势哈,上传一个含有xss代码的图片触发xss,传送门: wooyun exif xss
360提供的php注入代码
weixin_30596165的博客
09-14 376
<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ; die...
360safe安全卫士网站攻击源码
weixin_30767835的博客
10-25 617
近段时间,公司网站老被攻击,于是研究起止攻击方法,当然无外乎就是SQL注入之类的问题,无意间发现了一个360安全卫士提供的源码,觉得挺好的,咋们暂且不说攻击效果,至少思路是很好的,奉献给大家,大家也可以去360漏洞检查网站去下载。 360webscan.php <?php webscan_error(); //引用配置文件 require_once('webscan_cac...
看图识WAF-搜集常见WAF拦截页面
KHOST的博客
10-24 3074
前言 去年年底看到@madcoding老哥博客的“waf的识别与绕过”一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面的习惯,所以结合他的一起整理成了这么一篇文章,便于自己日后遇到WAF时好查询,并进行针对性的绕过测试!!! 现如今WAF种类繁多,笔者搜集的可能也并不是那么齐全和准确,还望得到各位老哥的补充和修正!!! (1) D盾 (2) 云锁 (3) UPUPW安全护 (4) 宝塔网站火墙 (5) 网G01 (...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
float HPF_Filter(struct hpf_filter_t *filter, float mesurement) { float K = filter->K; float X_Filter_Last = filter->x_last; // LPF X(k-1) float X_Filter_Now; // LPF X(k) X_Filter_Now = X_Filter_Last + K * (mesurement - X_Filter_Last); filter->x_last = X_Filter_Now; return mesurement - X_Filter_Now; }
06-01
HPF_Filter函数是一个高通滤波器,用于对输入的测量值进行滤波处理。该函数接受两个参数:一个是指向hpf_filter_t结构体的指针,另一个是要滤波的测量值。该函数返回滤波后的结果。 在函数实现中,首先获取滤波器的增益系数K和上一次滤波结果X_Filter_Last。然后,通过一个一阶低通滤波器来计算当前滤波结果X_Filter_Now,该滤波器的输出是输入信号的滤波结果,输出的变化速度受到增益系数K的调节。最后,函数返回输入测量值与滤波结果的差值,即为高通滤波器的输出。 总的来说,HPF_Filter函数的作用是通过高通滤波器去除输入信号中的低频成分,保留高频成分,从而使得滤波后的结果更加适合于动态数据的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值