关注我们
QRcode 邮件联系 新浪微博
分类:web安全
绕过电子邮件格式过滤进行SQL注入

绕过电子邮件格式过滤进行SQL注入

‍ ‍ 在此之前先给大家讲个冷笑话。这篇文章原文乍一看是英文的,但仔细一看我就懵了。没错!它并不是英文,而是印度尼西亚文。还好内容并不多,不然还不得吐血~... ‍ ‍

通过APACHE ACCESS LOG来利用LFI漏洞

‍ ‍ 本地文件包含(LFI)漏洞,常被入侵者用来提取站点所在服务器上的不同文件内容,如passwd,hosts等。但你有没有想过将它提升到另一个层级?即通过本地文件包含来获取服务器上的浏览器sh... ‍ ‍

代码审计 | DedeCMS v 5.7 sp2 RemoveXSS bypass

‍ ‍ 概述
DedeCMS 简称织梦CMS,当前最新版为 5.7 sp2,最近又去挖了挖这个CMS,发现过滤XSS的RemoveXSS函数存在缺陷导致可以被绕过。
相关环境
源码信息:DedeCMS-V5.7-UTF8-SP2
漏... ‍ ‍

PHP phar:协议对象注入技术介绍

‍ ‍ 前言
在之前的BlackHat 2018大会上公布了一款针对PHP应用程序的全新攻击技术。我们将通过这篇文章简单介绍下。
来自Secarma的安全研究员Sam Thomas发现了一种新的开发技术,... ‍ ‍

深入了解Json Web Token之实战篇

‍ ‍ 前言
在上一篇文章中,我介绍了 Json Web Token 的相关概念。在这篇文章中,我主要介绍JWT的相关攻击,并引用了一些CTF题目。
查看上一篇文章:
深入了解Json Web Token之概念篇:htt... ‍ ‍

UEditor编辑器两个版本任意文件上传漏洞分析

‍ ‍ 前言
UEditor是一款所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点,被广大WEB应用程序所使用。本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响... ‍ ‍
如何绕过Duo的双因素身份验证

如何绕过Duo的双因素身份验证

‍ ‍ 写在前面的话
通常,在执行渗透测试时,一般通过远程桌面协议(RDP)连接到系统。我通常使用rdesktop或xfreerdp连接到主机,一旦获得凭据就可以为所欲为了。我最近碰到一件很操蛋的事... ‍ ‍

CoinHive智能网页挖矿的二三事

‍ ‍ 0×0背景
挖矿目前已经成为黑帽子牟利的主要手段,最近上网偶然间发现部分网站被挂马后存在网页挖矿的行为,区别于常规病毒操作系统中挖矿行为,网页主要在网站上挂上恶意的J... ‍ ‍

后渗透阶段的权限维持(Windows篇)

‍ ‍ 前言
当我们在渗透过程中通过漏洞获取到目标主机权限后,往往会因为服务器管理员发现和修补漏洞而导致对服务器权限的丢失,所以权限维持就显得很重要了。
在windows主机中,我总... ‍ ‍
技术讨论 | 后门混淆和反检测技术

技术讨论 | 后门混淆和反检测技术

‍ ‍ 严正声明:本文仅限于技术讨论,严禁用于其他用途。

写在前面的话
后门是一种绕过认证或系统加密的方法。有时开发人员会出于某原因,为自己的程序构建后门程序。例如,为了提供简... ‍ ‍

“撬锁”实战:绕过云锁提权某游戏私服

‍ ‍ 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。
前言
朋友给我了我一个游戏私服的shell,说是提权不下服务器,让我帮忙看看。本文仅为大家提供一个思路,这个方法可能很多... ‍ ‍
缝缝补补的WebLogic:绕过的艺术

缝缝补补的WebLogic:绕过的艺术

‍ ‍ 前言
目前Weblogic在全球的使用量占居前列,据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35382台,其中归属中国地区的资产数量为10562台。如果爆发一个Weblogic... ‍ ‍
网络入侵溯源跟踪:Redis反弹Shell篇

网络入侵溯源跟踪:Redis反弹Shell篇

‍ ‍ *本文作者:6265113,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

背景介绍:

近期客服的妹子来找我说,客户服务器被恶意上传了大量的非法页面,客户要求三天内必须确认漏洞并... ‍ ‍

打造基于Nginx的敏感信息泄露检测系统

‍ ‍ *本文原创作者:f4ckbaidu,本文属FreeBuf原创奖励计划,未经许可禁止转载

0、环境说明:
注意:本文所有的代码都放在/data/code下面
如路径变化则需要修改test.conf中标红... ‍ ‍

简单聊聊PHP下的截断问题

‍ ‍ *本文原创作者:Sukaralin,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×01 起因

学弟有天在群里说起上传的%00截断的一些问题,就想起之前自己在这个问题踩过坑,想起了自... ‍ ‍
经验分享|谈谈渗透测试中的信息搜集

经验分享|谈谈渗透测试中的信息搜集

‍ ‍ 最近找了一份安全实习,每天对着目标站点进行渗透测试。渗透测试的第一步是信息搜集,那么你的信息搜集完整性决定了你渗透测试的结果,”知己知彼,百战不殆”,在此,我分享... ‍ ‍