由参数URL想到的

瞌睡龙 / 2013-06-28

当你看到一个参数的值是url的时候你会想到什么?
结合wooyun里的案例看,可能产生的危害分为三方面:

L

waf 绕过的技巧

livers / 2013-05-31

研究过国内外的waf。分享一些 奇淫绝技。

一些大家都了解的技巧如:/!/,SELECT[0x09,0x0A-0x0D,0x20,0xA0]xx FROM 不再重造轮子。

H

当渗透遇到zabbix--小谈zabbix安全

hongygxiang / 2013-01-16

zabbix近几年得到了各大互联网公司的认可,其强大的功能得到了各位运维攻城狮的亲耐。 公司本身也用zabbix做监控,对其属性也有所了解。不得不说zabbix除了监控强大之外,还有一个很好的用处就是在你忘记root密码的时候,重置服务器root密码,朋友们也一致认为zabbix是一个无比强大的超级后门。 打开了一扇门,另外一扇门就会随之开启,大伙都知道zabbix有system.run模块,这是可以执行任意命令的。不过还得看agent是以什么权限启的,根据我自己的观察,大伙为了方便这个模块都会启用,而且一般情况下都会用root跑。不用root跑会有很多麻烦事情。在这样的情况下,某些时候不得不说也方便了方便黑客更好的到访,这里很多朋友都报着这样的想法,zabbix在内网,外网访问不了,即使有注入或弱口令或默认口令黑客也无法访问,下面用实例来告诉你这样的想法是错的,不管你信不信,反正我是信了。

C

DNS域传送信息泄露

cnyouker / 2013-01-14

Dns是整个互联网公司业务的基础,目前越来越多的互联网公司开始自己搭建DNS服务器做解析服务,同时由于DNS服务是基础性服务非常重要,因此很多公司会对DNS服务器进行主备配置而DNS主备之间的数据同步就会用到dns域传送,但如果配置不当,就会导致任何匿名用户都可以获取DNS服务器某一域的所有记录,将整个企业的基础业务以及网络架构对外暴露从而造成严重的信息泄露,甚至导致企业网络被渗透。

V

使用Hash直接登录Windows

VIP / 2012-12-28

首先,在本地主机(假设为目标主机)  新建一个wooyun用户,并为之设置密码,然后通过gethashes.exe获取到HASH 

```
C:>net user wooyun test 

The command completed successfully.

投稿

随机分类

漏洞分析 文章:212 篇
Ruby安全 文章:2 篇
密码学 文章:13 篇
CTF 文章:62 篇
Python安全 文章:13 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

B

BOT

@Deen 谢谢您的评论。是这样的,如果只是利用__FILE__变量和fun函数

V

v2ihs1yan

orz

F

foniw

师傅,这边有个问题 setter自动调用需要满足以下条件: 以set开头且第

D

Deen

谢谢分享哈,这里有个问题:__FILE__这个变量的存在导致了需要特定的文件名才

M

MasterK

666

RSS订阅