🐰兔子窝🥕
github
categories
tags
archives
friends
me
github
categories
tags
archives
friends
me
Stay Hungry. Stay Foolish.
github
categories
tags
archives
friends
me
木马、反弹shell 合集
反弹 shellASPX<%@ Page Language="C#" %> <%@ Import Namespace="System.Runtime.InteropServices" %> <%@ Import Namespace="System.Net" %> <%@ Import Nam...
2023-12-05
写 exp 遇到的问题
阅读全文
2023下半年工作心路历程
近期情绪思考和接下来的解决方案控制情绪,尽量不要失控的发脾气真实感受近期的感受:特别辛苦,很不开心。完全失去了生活和思考的时间和空间,感觉生活里都是同事和工作,很窒息。节奏很快,压力很大。 工作人员变动也很大,都是流水的实习生,大家朝夕相处了很长一段时间,很快又面临分别。他们都是一群真挚、热情、善良的人。面临分离,我还是不会很好的处理自己的情绪。 之前吃饭的时候,随口闲聊别人问过我,为什么大...
2023-10-20
脆弱的本体
阅读全文
深信服下一代防火墙文件读取、远程命令执行漏洞分析
深信服下一代防火墙文件读取、远程命令执行漏洞分析近期,深信服下一代防火墙出了一个文件读取、远程命令执行漏洞,目前已公开的漏洞利用技术仅能做到简单的命令执行,无法满足实际攻防场景。本次漏洞利用,我们通过对安全防护设备的绕过,完整的实现了 PHP 代码执行和漏洞回显。 漏洞分析该章节将从源代码的角度,深入分析以下三个漏洞点。 身份绕过分析 apache 的配置文件通过分析 /etc/apac...
2023-10-20
漏洞分析
阅读全文
写PHP站的exp时遇到的问题总结
小马传大马的思想 鸿宇多用户商城 user.php 任意命令执行漏洞 通过命令执行的点,传入 PHP代码。 写入 PHP 代码到文件中,可以先写成 txt 的文件格式,查看写入的内容是否被拦截,是否被解析了。 当前的状态是可以命令执行,在命令执行的部分,直接echo 的方式,进行php 马的写入,可能会失败。这时候,可以先写入txt看看,写入的php函数是否被解析了。 我今天遇到的是...
2023-10-20
写 exp 遇到的问题
阅读全文
写exp时遇到的问题(普遍版)
引号被过滤今天命令执行,想要上传马,遇到了引号被过滤掉的问题。最终找到了三种方式来解决。 用echo -e 对它16进制编码 echo -e "\x22hello\x22" >> a.asp 因为它本身的asp里面有引号,我通过它仅有的命令head和cut,把它摘到了我的上传文件中 head -n 1 home.asp | cut -c 23 >...
2023-10-19
写 exp 遇到的问题
阅读全文
sql 注入xpcmdshell相关问题
sql注入select * from master.dbo.sysobjects where xtype=’x’ and name=’xp_cmdshell’select count(*) from master.dbo.sysobjects where xtype=’x’ and name=’xp_cmdshell’ // 存在返回1 python .\sqlmap.py -r .\po...
2023-10-19
写 exp 遇到的问题
阅读全文
URL 编码问题
漏洞录入《宏景人力资源信息管理系统 codesettree 接口 SQL 注入漏洞》,汲取的灵感。 那个编码,对一些特殊字符,用百分号+十六进制的骚方法。。。。先普通url一次之后,再对一些特殊字符编码。他不是简单的多次url编码。这是另一种url编码。叫encodeURIComponent,这是java中的一个类。 java对url编码有两种方式,一个是encodeURI,一个是enc...
2023-10-19
写 exp 遇到的问题
阅读全文
Mac上遇到的环境问题记录
Goland设置代理
2023-07-14
杂七杂八
阅读全文
Go语言学习记录
Go 语言结构 包声明 引入包 函数 变量 语句&表达式 注释 可以通过go run指令,直接运行.go文件。 可以通过go build指令,生成二进制文件。 Go中,{不能单独一行 Go基础语法标识符标识符用来命名变量、类型等程序实体。一个标识符实际上就是一个或是多个字母(AZ和az)数字(0~9)、下划线_组成的序列,但是第一个字符必须是字母或下划线而不能是数字。 ...
2023-07-14
Golang
阅读全文
FastJson的全系列学习
FastJson的基本介绍fastjson是一个JAVA库,可以实现使用json传输复杂的数据,可以将JAVA对象转换为Json字符串。 参考链接【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) (qq.com)
2023-06-06
JAVA安全
阅读全文
1 / 16
下一页