原创 PUT上傳
配置支持PUT上傳的web環境 支持put上傳需要修改以下配置 http.conf //打開下面兩個module LoadModule dav_module modules/mod_dav.so LoadModule dav_fs_modu
2018-09-11 07:14:19
原创 火狐擴展WebExtension新手入門
什麼是WebExtension?WebExtension(擴展)是誇瀏覽器用於開發附加組建的工具。在很大程度上與谷歌、歐朋等瀏覽器兼容。WebExtension 剖析WebExtension 是一個打包好的、可供發佈的安裝包,該安裝包包含若
2018-09-11 07:14:18
5
原创 XSS漏洞分析
什麼是XSS跨站腳本***(Cross Site Scripting),爲不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆,故將跨站腳本***縮寫爲XSS。惡意***者往web頁面裏插入而已html代碼,當瀏
2018-09-11 07:14:18
原创 web環境搭建之Linux--nginx-php-mysql
環境:Linux CentsOs 6.7 32位任務:搭建web環境:Linux--nginx-php-mysql(1)安裝PHP包括一些附加件:yum install php php-mysql php-gd php-imap php-l
2018-09-11 07:14:18
原创 Ubuntu16.04系統搭建web環境apache2-mysql-php7
0x00 安裝Apache2sudo apt-get install apache20x01 安裝PHPsudo apt-get install php sudo apt-get install libapache2-mod-php0x02
2018-09-11 07:14:18
原创 XXE漏洞
0x01 XXE基礎-XML基礎語法 XML被設計用來傳輸和存儲數據。 HTML被設計用來顯示數據。 0x02 什麼是XML XML 指可擴展標記語言(EXtensible Markup Language)。 XML 是一種很像HTML
2018-09-11 07:14:17
1
原创 BwApp學習記錄
下載&安裝bwapp可以單獨下載,然後部署到apache+php+mysql的環境,也可以下載他的虛擬機版本bee-box,但是有好多漏洞是bee-box裏邊有,但單獨安裝bwapp沒有的,比如破殼漏洞,心臟滴血漏洞等。我這裏主要用bee-
2018-09-11 07:14:17
原创 PUT上傳POC--Put2Poc.py
環境 Python 2.7 requests sys Windows 7 Apache 已完成put配置。 PHP Apache PUT配置 簡單介紹一下源碼,增加易讀性。 POC入口函數,設置默認變量,接受和判斷用戶輸入
2018-09-11 07:14:17
原创 SqlMap使用手冊
0x00 SQLMAP簡介sqlmap是一種開源的***測試工具,可以自動檢測和利用SQL注入漏洞以及接入該數據庫的服務器。它擁有非常大的檢測引擎、具有多種特性的***實測器、通過數據庫指紋提取訪問底層文件系統並通過外帶連接執行命令。支持的
2018-09-11 07:14:17
原创 CSRF漏洞分析利用及防禦
0x00 簡要介紹 CSRF(Cross-site request forgery)跨站請求僞造,由於目標站無 token/refer 限制,導致***者可以以用戶的身份完成操作達到各種目的。根據HTTP請求方式,CSRF利用方式可分
2018-09-11 07:14:17
1
原创 ***F漏洞分析,利用及其防禦
0x00 什麼是***F ***F(Server-Side Request Forgery:服務器端請求僞造)是一種有***者構造形成有服務器發起請求的一個安全漏洞。一般情況下,***F***的目標是從外網無法訪問的內部系統。0x0
2018-09-11 07:14:17
原创 PHP函數func_get_args(),func_get_arg(),func_num_args()
func_get_arg說明mixed func_get_arg(int $arg_num) 從用戶自定義函數的參數列表中獲取某個參數。參數arg_num 參數的偏移量。函數的參數從0開始計數。返回值返回指定的參數,錯誤
2018-09-11 07:14:16
1
原创 Tomcat最新本地提權漏洞
漏洞原理在Debian系統中利用apt-get安裝Tomcat時,程序會自動創建一個自動腳本,該腳本位於/etc/init.d/tomcat*,代碼如下171 # Run the catalina.sh script as a daemo
2018-09-11 07:14:13
3
原创 XSS漏洞實例利用
上一篇說了一下XSS的原理,相信大家對XSS的原理有了一定的瞭解。今天給大家分享一下XSS漏洞的實例利用。環境: window 7 64位一臺 火狐瀏覽器就位 外網雲服務器一枚(我自己買的...)
2018-09-11 07:14:13
2
原创 文件上傳漏洞原理與實例測試
0x00 什麼是文件上傳爲了讓用戶將文件上傳到網站,就像是給危機服務器的惡意用戶打開了另一扇門。即便如此,在今天的現代互聯網的Web應用程序,它是一種常見的要求,因爲它有助於提高業務效率。企業支持門戶,給用戶各企業員工有效地共享文件。允許
2018-09-11 07:14:13