本博客只做技术文章、工具的收藏!

feed订阅 新浪微博 你好,欢迎光临! 

[渗透技巧]python脚本处理伪静态注入

2013.05.28 , , 1 Comment ,

目前有很多网站做了rewrite,如   /?id=1 /1 /1111.php   大趋势下,攻击的门槛逐渐增高。这样有利有弊,喜欢研究的会深入钻研,另一方面只会用工具不懂原理的则充斥到大小论坛水区。 实战举例:   http://www.bxxxxxxxxxxxx.edu/magazine/index.php/mxxxxia/ga...

社工库的搭建思路与代码实现

2013.05.26 , , 14 Comments ,

貌似很多朋友拿着库,用BAT 或者PHP读取TXT的形式来扫,文件太大了的话,1,2分钟估计都查不出来,因为导入库是一个不错的方法,很多都不知道怎么搭建的吧,用MSSQL或则ORACLE来搭建的,个人感觉没那必要,原因在于安装他们需要的空间很大,运行也占内存,因此,个人推荐MYSQL,对于的亿级以上的数据也是不超过10秒钟,下面是我最近的搭建过程与一些心得: 1.首先...

自动化SQL注入工具——jSQL Injection v0.4

2013.05.25 , , No Comments ,

jSQL是一款轻量级的安全测试工具,用于发现远程数据库的漏洞信息。jSQL免费、开源、跨平台(Windows, Linux, Mac OS X, Solaris)。 Version 0.4特性 GET, POST, header, cookie methods Normal, error based, blind, time based algorithms Aut...

反向ICMP_shell – icmpsh

2013.05.25 , , No Comments ,

有时候,网络管理员使用各种各样的防火墙,对渗透测试是非常困难的,有种这样防火墙:一个允许已知的机器流量在端口和服务(入口过滤),并拥有强大的出口访问控制列表的设置。 当你已经拥有一台机器内部网络或者DMZ的一部分。他并非通过TCP来获得reverse shell的,所以不考虑绑定shell。 然而有关UDP,通常是一个DNS隧道或通过ICMP的渠道来获得一个rever...

Struts2 5个远程代码执行漏洞利用POC+批量+DEMO

2013.05.24 , , No Comments ,

注: 利用工具可以用任意语言编写其实就是发送漏洞代码就行了。一个request一个response,我尝试用过纯JS PHP JSP JavaSwing JavaFX 现在android版本都快写好了。本来打算发视频和利用工具的不过还是算了吧,懂的人自然就懂了. 演示DEMO下载: http://pan.baidu.com/share/link?shareid=495...

Android平台下Mysql注入工具——DroidSQLi

2013.05.22 , , No Comments ,

DroidSQLi是Android下的第一个自动化MySQL注入工具。它可以让你对基于MySQL的Web应用程序进行SQL注入攻击测试。 DroidSQLi支持以下注入技术:  - 基于时间注入 - 盲注 - 基于错误注入 - 普通注入 它会自动选择使用最好的技术,并采用一些简单的方法躲避滤器。 点击下载 转自:http://www.freebuf....

过狗狗3.0的菜刀的详细制作流程

2013.05.21 , , No Comments ,

前言:作者是个懒人,又犯了五月病,什么都懒得做,编辑了好几次文章,后来都不了了之了 但是时间紧迫,下个月就要跨省去外地了,看见大家好像对狗狗很有热情,所以就一口气把一篇笔记发出来了 本来没有那么长的,越写越长,本来是想分开发的,好吧我懒了,分开发又有坑JB的嫌疑,所以各位看官大人将就一下吧PS:发了N次没成功,发现是使用了【code】 【/code】来标记代码产生的问...

WebApp Pentesting_Web渗透演练平台

2013.05.16 , , No Comments ,

1、 什么是WebApp Pentesting WebApp Pentesting,由PentesterLab出品。官方给自己的定义是一个简单又十分有效学习渗透测试的演练平台。它提供诸多的漏洞系统以供网络安全发烧友进行测试和让黑阔们更加深刻地且透彻理解“漏洞”。 跟传统的DVWA和WebGoat等Web演练平台不同,WebApp Pentesting提供Web漏洞练...

Cain & Abel v4.9.44发布

2013.05.9 , , 1 Comment ,

Cain & Abeld是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复和网络嗅探测试工具。它的功能十分强大,可以网络嗅探,网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。   cain & Abel的名字来源于圣经的故事,Cain和Abe...

发个快速入库脚本

2013.05.9 , , 1 Comment ,

本人从昨晚开始职业入库 一段时间 赶快弄点脚本 有什么裤子都可以给我整理 什么裤都可以。 真的什么裤都可以 。。。。。。。。。 入库的关键是 insert into的优化 代码很简单的 意思是 10000 一次导入一万 一秒。。看机子要求 你可以十万 都可以 反正一千万数据 俺五分钟搞定。。不用优化的语句 一千万 估计入五天都不行 。脚本不会全部导入 例如 。 100...