PRELOADER

主页

2/23/2019 —— 

FUZZING工具总结(不定时更新)信息收集的时候使用fuzz比较好一点(其实我一点都不知道这个事实)但是经过一些简单搜索之后发现还是挺多的信息 这里介绍几种常用的fuzz工具 angryFuzzerhttps://github.com/ihebski/angryFuzzer AngryFuzz3r是基于Fuzzedb https://github.com/fuzzdb-project/fuzz

展开全文

服务器解析漏洞服务器解析漏洞算是历史比较悠久了,但如今依然广泛存在。在此记录汇总一些常见服务器的解析漏洞,比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。 一、IIS文件解析漏洞IIS文件解析漏洞存在于两个版本,一个是IIS6.0的文件解析漏洞,一个是IIS7.5的文件解析漏洞,IIS7.5的文件解析漏洞原理和IIS6.0类似,均因为存在逻辑问题,在此仅对IIS6.0的

展开全文

部分中间件漏洞总结(不定时更新)前言中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。那么从实际情况来看,预防这种漏洞最大的难点,在于中间件安全该由谁负责? 我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。 暂不说

展开全文

CMS识别方法根据文件robots.txt判断很多robots都会有CMS的版本信息,一般在头部居多。 robots.txt文件是一个文本文件,也是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。 robots.txt文件告诉爬虫程序在服务器上什么文件是可以被查看的。如果将网站视为酒店里的一个房间, robots.txt就是主人在房间门口悬挂的“请勿打扰

展开全文

aspcms漏洞0dayaspcms1.5版以下的漏洞aspcms开发的全新内核的开源企业建站系统,能够胜任企业多种建站需求,并且 支持模版自定义、支持扩展插件等等,能够在短时间内完成企业建站。 漏洞文件:/plug/productbuy.asp 对接收的参数id没有进行过滤而导致的注入漏洞 注入后的页面有跳转,所以要快,建议用快捷键复制 爆用户名EXP: http://www.***.com/

展开全文

PHP代码审计中的常见套路 检查相等时的漏洞0x00 原文PHP网站渗透中的奇技淫巧:检查相等时的漏洞 http://www.freebuf.com/articles/web/129607.html 延伸阅读PHP代码审计片段讲解(入门代码审计、CTF必备) http://www.freebuf.com/articles/rookie/152209.html 0x01 前言PHP是现在网站中最为常

展开全文

隐写术-深入研究PDF混淆漏洞原文链接:https://blog.edgespot.io/2019/01/steganography-obfuscating-exploits.html 上礼拜发现的关于使用 this.getPageNumWords() & this.getPageNthWord() 方法来进行混淆的 PDF 漏洞不久,我们发现另外一个,一个在 PDF 漏洞中更加强大的混淆

展开全文

常用端口利用总结 21端口渗透剖析FTP通常用作对远程服务器进行管理,典型应用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全,甚至黑客通过提权可以直接控制服务器。这里剖析渗透FTP服务器的几种方法。 基础爆破:ftp爆破工具很多,这里我推owasp的Bruter,hydra以及msf中的ftp爆破模块。 ftp匿名访问:用户名:anonymous 密码:为空或者任意邮

展开全文

前言 今天和我的一位好友聊天的时候,对方回复的这一句(QAQ),有很多人说过这句话我都未曾给予回答,你知道为什么吗?(看一下这个链接上面的视频) 本来不想回答这种问题,但是想到好友,天天那么懒的性格,还是有必要写一些文字。 谨以此文献给我那个傻傻的好友(人傻怪自己HHHHH) 同时也愿你成为你想成为的那个人,当然也可以是我这种人(hhhhhh)。 愿你一世长安,此生尽兴,赤诚善良 愿你有孩

展开全文