本博客只做技术文章、工具的收藏!

feed订阅 新浪微博 你好,欢迎光临! 

Mysql漏洞利用(越权,实战怎么从低权限拿到root密码)

2014.05.23 , , No Comments ,

众所周知,Mysql的用户在没有File权限情况下是无法通过Load_file读文件或者通过into dumpfile 或者into outfile去写文件,但是偶尔在一个网站上发现个小技巧,也就是通过load data infile可以读取本地文件到数据库,这样子我们就可以在低权限下通过这个bug去读取服务器上的文件。代码如下: LOAD DATA LOCAL IN...

dedecms找后台技巧

2014.05.18 , , 1 Comment ,

不知道是那个人要这个dedecms找后台技巧!我找不到那个用户,所以自己发文章算了! 织梦dedecms查找后台的技巧。 1、/include/dialog/select_media.php?f=form1.murl 织梦dedecms查找后台的技巧。 2、/include/dialog/select_soft.php 织梦dedecms查找后台的技巧。 3.使用m...

python加密通讯后门

2014.05.14 , , 1 Comment ,

加密通讯内容过一些检测数据包匹配关键字的ips和ids还是可以的,简单的demo。 client.py # client import socket import time import binascii import base64 import pyDes import sys #use des iv = '2132435465768797' ...

Hibernate HQL注入攻击入门

2014.05.12 , , No Comments ,

SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是,我在网络上找不到针对Hibernate查询语言的相关资源。因此本文总结了笔者在阅读文档和不断试验过程中的一些经验技巧。 什么是Hibernate Hibernate是一种ORM框架,用来映射与tables相关的类定义(代码),并包含一些高级...

【视频】 安卓渗透课程收集整理

2014.05.12 , , 5 Comments ,

课程表: 第一课;免费获取安卓收费程序无需root权限 第二课;突破安卓收费wifi-2013 第三课;Android WiFi破解程序的使用 第四课;反Android网络工具包的视频演示 第五课;Android设备[免费的应用程序下载]裂纹的WiFi密码 第六课;dsploit -如何破解无线网络密码的第1部分 第七课;dsploit -如何破解无线网络密码使用An...

骗子的自白

2014.05.4 , , 5 Comments ,

话说网警中有这么漂亮的妹子木..... 目测里面用到了QQ群关系库查询。

国产BurpSuite插件Assassin V1.0发布

2014.04.15 , , No Comments ,

Assassin 翻译过来刺客的意思,信息探测。 目前这个小工具只有两个功能,一个是旁注,另外一个是子域名暴力破解。 貌似国内还没有写Burp插件的,没见别人发过,也可能别人早已经写好了在偷偷用了。 这个工具,以后会增加很多信息探测的功能。比如Web指纹识别,端口探测,漏洞自动化利用。 Assassin如下图所示: 1、子域名枚举 2、旁注查询 点击下载 转自...

华东互联网高峰论坛

2014.04.15 , , 2 Comments ,

2014.4.11参加了华东互联网高峰论坛,能参加这个高峰论坛,要感谢途牛网举办,感谢K总邀请(途牛技术总监)。 论坛官网:http://www.ecits.org/ 本次高峰论坛的主题是:互联网如何改变生活 本次论坛举办了两天,我印象比较深的是4月12的时候,在会上,看到了道哥、厉哥、辉哥等一些前辈。 因为本次会议的主题不是讨论技术,所以在会上几位前辈谈了一些想法。...

WinrRar4.2 扩展名欺骗0Day

2014.03.30 , , 2 Comments ,

1.首先我们压缩一个exe可执行文件,是个弹出PWNED的小程序   2.用winrar的zip模式压缩exe文件   3.把压缩的zip文件载入hex软件,找到文件名,更改第二个文件名后缀为 jpg,保存zip文件   4.打开zip,双击里面的图片,将允许你的exe文件  

NetStress-NG DDOS测试工具

2014.03.29 , , No Comments ,

NetStress是一个DDoS攻击和网络压力测试工具。 SF下载地址:http://sourceforge.net/projects/netstressng/ 点击下载 NetStress支持以下攻击方式: SYN Flood Attacks + SYN flood 静态源端口 + SYN flood 随机源端口 + SYN flood 静态源IP + SYN f...