自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(7)
  • 收藏
  • 关注

原创 针对Xshell7工具通过编写bat文件进行绕过

1、首先新建一个txt文件,复制下方图片的代码,注意:标红的一定要写你安装Xshell的默认路径,找不到的推荐使用erverything工具查找,我这里安装的路径是D:\SSH工具\Xshell.exe。2、粘贴完你的代码,将后缀文件txt的装换成bat文件并复制到对应的Xshell的安装目录里。等了一会,出现已经更新到最新,但是无法打开xshell,应该是官方开始要钱了,FUCK!一、Xshell现在开始收费了,打开Xshell弹窗出问题需要更新到新版本。

2023-04-17 14:35:27 1283

原创 常见的webshell的流量特征和检测思路

所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,冰蝎成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。

2023-04-11 10:08:54 7284

原创 正反代理与正反shell

反向代理是从目标机器主动连接攻击者电脑,例如通过在目标机器执行操作访问者电脑建立的Shell。正向代理是从攻击者电脑主动访问目标机器,例如主动访问目标建立shell是正向shell。反向shell是指攻击者出于外网,被攻击者出于内网,且是被攻击者主动连接攻击者;内外网的区别,正向shell是攻击者出于内网,被攻击者出于公网;正向shell:控制端主动发起连接去连接被控制端。正向代理是服务器开放端口,客户端主动访问服务器的端口。反向shell:被控制端主动连接控制端。一、正向代理与反向代理。

2023-04-10 09:47:39 492

原创 log4j2漏洞复现(CVE-2021-44228)

一、原理介绍由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。二、vulfocus靶场安装docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.16..

2022-05-11 22:51:42 7519

原创 sqli-labs靶场15-19关通关笔记中总结

第十五关本关属于时间注入,基于源码分析,闭合字符是单引号。本关没有错误提示,那么我们只能靠猜测进行注入。这里我直接从源代码中看到了 sql语句。那这里对 id 进行 ‘ id’ 的处理。本关我们利用延时注入进行。uname=admin'and If(ascii(substr(database(),1,1))=115,1,sleep(5))#&passwd=11&submit=Submit正确的时候可以直接登录,不正确的时候这里会延时 5 秒。第十六关

2022-04-16 22:01:26 3912

原创 sqli-labs靶场通关秘籍分享(1-10关)

一、1、SQL注入原理:sql语句未经查询直接带入数据库查新,sql注入攻击其实就是服务端的攻击,它与操作系统、服务器类型、脚本语言无关2、sql注入类型:分为数字型、字符型、搜索型、xx型3、注入提交方式:get提交、post提交、cookie提交。4、注入攻击提交支持的类型union注入、information_schema、宽字节注入、报错注入、盲注,这里的盲注分为三种,分别是布尔型盲注、时间型盲注、报错型盲注。updatexml注入分为 insert注入、update注入

2022-04-16 21:25:28 2778 1

原创 XSS靶场挑战

XSS靶场1-10关方法总结第一关 里面没有任何可以点击或输入的地方,很明显唯一可输入的只有URL中。利用弹出方式函数alert,注入xss代码,在url里的?name参数后面添加。<script>alert(/xss/)</script>第二关(1)利用鼠标移出函数onmouseout"afawef" onmouseout="alert(/xss/)" 鼠标移出会触发alert弹窗。(2)利用onclick鼠标点击触发xss弹窗。在...

2022-03-29 10:23:27 1076

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除