E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
漏洞利用——WebShell
XML External Entity attack
AWVSReference:《XXE
漏洞利用
技巧:从XML到远程代码执行》《安仔课堂:实战讲解XXE漏洞的利用与防御策略》*原文地址:https://blog.dyboy.cn/webse
DYBOY
·
2023-11-26 06:46
vulnhub——ctf6
3.
漏洞利用
。4.提权。1.信息搜集1.arp-scan-l发现目标主机2.发现目标主机,查看他的端口利用nmap进行扫描,这里用到的是半开扫描,和扫描服务版本。
初阳不会开发
·
2023-11-26 02:48
安全
手把手教你查看网站遭受到的Web应用攻击类型
常见Web应用攻击类型有:
webshell
、SQL注入、文件包含、CC攻击、XSS跨站脚本攻击、敏感文件访问、远程命令、恶意扫描、代码执行、恶意采集、特殊攻击、其他攻击十二种攻击类型。
weixin_30532759
·
2023-11-26 01:09
数据库
php
爬虫
X-RAY POC编写
EXP(Exploit)-
漏洞利用
EXP,Exploit中文意思是
漏洞利用
。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的
bboywxy8340
·
2023-11-25 13:03
安全
upload-labs靶场
文件上传漏洞:用户可以越过其本身权限,向服务器上传可执行的动态脚本文件,例如木马、病毒、恶意脚本或者
WebShell
等。
空调不灵
·
2023-11-25 07:23
网络
安全
分享一些渗透测试的工具(压箱底的)(附带下载链接)
SQL注入
webshell
xss测试暴力破解编程工具编码转换菜刀代码审计
漏洞利用
逆向工程日志分析扫描工具数据库
漏洞利用
工具提权信息收集远程工具抓包分析下载地址(百度网盘):永久有效链接:https://
保持微笑-泽
·
2023-11-25 07:30
渗透测试
网络安全
web安全
win11渗透武器库,囊括所有渗透工具
后续自己还可以再添加,下载地址:https://download.csdn.net/download/weixin_59679023/88565739服务连接信息收集工具端口扫描代理抓包漏洞扫描指纹识别
webshell
Cwillchris
·
2023-11-25 07:23
安全
web安全
漏洞复现-docker-unauthorized-rce
目录一、漏洞介绍1.1漏洞成因2.2环境准备二、漏洞检测三、
漏洞利用
1.脚本利用2.定时任务反弹shell3.写ssh公钥获取shell一、漏洞介绍1.1漏洞成因dockerremoteAPI未授权访问漏洞
_s1mple
·
2023-11-25 06:19
web安全
漏洞复现
安全
docker
容器
Getshell总结
进后台Getshell管理员后台直接Getshell管理员后台直接上传Getshell,有时候带密码的
Webshell
连接时容易被waf拦截,可以上传不加
嘎闻旺
·
2023-11-25 04:20
文件上传漏洞(CVE-2022-23043)
该漏洞被定义为文件的不加限制上传,攻击者可以利用这个漏洞上传
webshell
以执行任意命令。利用这个漏洞的攻击者暂无特定情况。
BTY@BTY
·
2023-11-25 00:16
安全
web安全
php
网络安全
[
[email protected]
].faust勒索病毒数据怎么处理|数据解密恢复
攻击者通常通过电子邮件附件、恶意链接或
漏洞利用
等手段将病毒传播到目标系统。一旦感染,病毒会迅速
huifu91
·
2023-11-24 22:15
勒索病毒数据解密
勒索病毒数据恢复
数据恢复
php
开发语言
网络
php免杀一句话2018,PHP一句话木马
Webshell
变形免杀总结
0×00前言大部分
Webshell
查杀工具都是基于关键字特征的,通常他们会维护一个关键字列表,以此遍历指定扩展名的文件来进行扫描,所以可能最先想到的是各种字符串变形,下面总结了一些小的方法,各种不足之前还请看官拍砖
星空尽头有人家
·
2023-11-24 13:51
php免杀一句话2018
ASP
WebShell
后门脚本与免杀
随着时间的推移和其它新型动态网页技术的兴起,使用ASP(ActiveServerPage)技术构建的Web应用越来越少。ASP的衰落、旧资料和链接的失效、前辈们早期对ASP较多的研究,都导致了新型ASP网站后门和技术研究的减少。ASP官网手册:asp中文手册-站长学院-365建站网(www.365jz.com)一、ASP脚本ASP是动态服务器页面(ActiveServerPage),是微软公司开发
wespten
·
2023-11-24 13:16
全栈网络安全
渗透测试
代码审计
网络安全工具开发
数据库
服务器
html
webshell
Webshell
实现与隐藏探究一、什么是
webshell
webshell
简介
webshell
,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,
webshell
就是就是web
prodigal11
·
2023-11-24 13:15
webshell
web
Webshell
实现与隐藏探究
一、什么是
webshell
webshell
简介
webshell
,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,
webshell
就是就是web的一个管理工具,可以对web
Coisini、
·
2023-11-24 13:13
安全开发
实战篇
Webshell
webshell
之扩展免杀
由于很多企业为了防止源码泄露,都会使用加密扩展将代码进行加密,那么我们就可以就将计就计,将
webshell
也利用扩展加密,将特征消除,从而达到免杀的效果1.php-beast扩展地址下载dll,并添加至
星了个星
·
2023-11-24 12:11
web安全
网络
安全
学习
webshell
之无扩展免杀
1.php加密这里是利用phpjiami网站进行加密,进而达到加密效果加密前:查杀效果可以看到这里D某和某狗都查杀里用php加密后效果查杀效果可以看到这里只有D某会显示加密脚本,而某狗直接绕过2.dezend加密可以看到dezend加密的特征还是太过明显3.z5encrypt4.php-obfuscator工具下载在线工具不太行5.yakpro-po工具下载在线在线工具免杀效果并不太行6.phpj
星了个星
·
2023-11-24 12:10
web安全
网络
安全
学习
webshell
之基于框架免杀
thinkphparray_map_recursive函数array_map_recursive函数分析这里存在一个call_user_func命令执行函数免杀效果B函数免杀效果B函数分析exec函数分析在exec函数用存在有个类调用,且所有的参数都可控smarty_php_tag函数免杀效果smarty_php_tag函数分析直接存在命令执行,且参数可控I函数免杀效果
星了个星
·
2023-11-24 12:07
网络
安全
web安全
企业遭受勒索软件,企业员工必要的网络安全培训刻不容缓
网络安全事件频发,而勒索软件攻击还只是其中一部分,还包括常见的DDoS攻击、
漏洞利用
、弱口令爆破攻击、金融行业的钓鱼邮件高发,这些都威胁着各行各业,各个企业不得不重视起来。今天雨笋教
雨笋教育
·
2023-11-24 09:37
网络安全
数据安全
安全漏洞
渗透测试
安全
可控内存写漏洞自动利用生成方法
首先,基于内存地址控制力度的动态污点分析方法检测可控内存写漏洞;然后,基于
漏洞利用
模式进行利用要素搜索,通过约束求解自动构造可控内存写漏洞的利用。
米朵儿技术屋
·
2023-11-24 05:21
信息技术发展的研究与探讨专栏
java
安全
开发语言
星火-二进制
漏洞利用
培训
PWN前言信安出征,寸草不生。世界万物皆可pwn,除非你内力不够深厚,pwn不是你成为武林高手的唯一路径,但绝对是你闯荡江湖的武林秘籍。ctfpwn只是一个起点,希望对pwn感兴趣的童鞋不要只局限于pwn,因为你学习pwn的时候,也许你觉得这是玄学,建议积极的探索未知的领域,找到那些可以让你感兴趣的地方,否则,你永远达不到pwn万物的高度,应该要记住,我们的征途是星辰大海。仰望星空,脚踏实地,狭义
梦回Altay
·
2023-11-24 05:47
二进制学习
pwn
ctf中linux内核态的漏洞挖掘与利用系列1
说明该系列文章主要是从ctf比赛入手,针对linux内核上的漏洞分析、挖掘与利用做讲解,本篇文章主要介绍内核
漏洞利用
所需的前置知识以及准备工作。
墨云安全
·
2023-11-24 05:04
linux
安全
运维
中职网络安全B模块(系统漏洞提权)
B-1:系统
漏洞利用
与提权任务环境说明:服务器场景:PYsystem001服务器场景操作系统:Ubuntu(显示链接)服务器用户名:未知密码:未知使用nmap扫描靶机系统,将靶机开放的端口号按从小到大的顺序作为
Liseth
·
2023-11-24 04:44
linux
网络
web安全
网络安全
安全
三、文件上传漏洞
文件上传漏洞一般指的就是用户能够绕过服务器的规则设置将自己的木马程序放置于服务器实现远程shell(例如使用蚁剑远程连接),常见的木马有一句话木马(php)无需启用short_open_tag:需要启用short_open_tag:1.原理解释:文件上传漏洞如果存在可能会被攻击端获得
webshell
黑日里不灭的light
·
2023-11-24 02:04
#
Web安全
php
极光 0day漏洞
趁国内没有大规模更新补丁之前,在
webshell
上大肆放马,命中率还是挺高的。
weixin_34198762
·
2023-11-23 16:34
运维
CRLF注入漏洞原理
目录漏洞原理换行符、回车符漏洞环境搭建
漏洞利用
讲解修改会话值其他漏洞反射形xss漏洞加固参考链接漏洞原理 CRLF注入漏洞又称HTTP响应拆分漏洞(HTTPResponseSplitting),攻击方式是将回车符
丶没胡子的猫
·
2023-11-23 13:34
基础知识
nginx
安全
安全漏洞
渗透测试
【安全测试学习】自动化注入攻击之 FuzzDB和Burp 组合拳
主要功能:OS命令注入目录遍历文件上传绕过身份验证绕过XSSSQL注入HTTP头注入CRLF注入NoSQL注入等还包含了一些用不同语言写成的
webshell
与常用的账号密码字典。
aovenus
·
2023-11-23 13:28
安全测试
FuzzDB
安全测试
linux提权思路总结
linux提权思路总结前言说到提权,首先需要获得网站的
webshell
权限,再说提权的操作。
彪_King
·
2023-11-23 13:49
Linux提权
网络安全
linux
政府数据泄漏频现 美国能源部也未幸免
最新政府数据泄露事故包括53次成功的根级
漏洞利用
。美国能源部(DOE)发言人AndrewGumbiner在声明中
weixin_33915554
·
2023-11-23 04:51
网络
2023 极客巅峰线上
linkmap考点:栈溢出+ret2csu+栈迁移保护:开了FullRELRO和NX,所以这里不能打ret2dl题目给了一些有用的函数:在这个函数中,我们可以把一个地址的数据存放到BSS段上.
漏洞利用
可以把一个
XiaozaYa
·
2023-11-23 02:59
pwn
vulhub thinkphp5 5.0.23 远程代码执行漏洞
漏洞介绍影响版本Thinkphphack.php通过冰蝎连接通过
webshell
工具连接后可以对服务器进行危险的恶意操作,包括读取文件和操作文件等。默认密码:rebeyond
xiaolihello8
·
2023-11-23 00:10
php
开发语言
安全
web安全
Struts2-S2-061远程命令执行(CVE-2020-17530)漏洞复现
目录框架介绍漏洞原理影响版本环境搭建漏洞探测
漏洞利用
防御措施框架介绍ApacheStruts2最初被称为WebWork2,它是一个简洁的、可扩展的框架,可用于创建企业级Javaweb应用程序。
菜瓜苗
·
2023-11-23 00:07
漏洞复现
python
[春秋云镜]CVE-2022-23043
靶场介绍ZenarioCMS9.2文件上传漏洞,攻击者可上传
webshell
执行任意命令。
web-春天11
·
2023-11-22 21:13
春秋云镜
靶场
安全
web安全
春秋云境:CVE-2022-23043
春秋云境:CVE-2022-23043文章合集:春秋云境系列靶场记录(合集)ZenarioCMS9.2文件上传漏洞:CVE-2022-23043漏洞介绍ZenarioCMS9.2文件上传漏洞,攻击者可上传
webshell
Acczdy
·
2023-11-22 21:12
春秋云境-靶场
安全
web安全
安全漏洞
网络安全
系统安全
春秋云境靶场CVE-2022-30887漏洞复现(任意文件上传漏洞)
文章目录前言一、CVE-2022-30887描述和介绍二、CVE-2022-30887漏洞复现1、信息收集2、找可能可以进行任意php代码执行的地方3、
漏洞利用
找flag总结前言此文章只用于学习和反思巩固渗透测试知识
无名小卒且不会安全的zzyyhh
·
2023-11-22 21:07
web安全
文件上传漏洞
命令执行
漏洞利用
技巧总结
远程命令执行类漏洞从漏洞探测到
漏洞利用
其实都非常讲究技巧。如果在进行漏洞探测阶段考虑的情况不全就会很容易遗漏漏洞,与漏洞擦肩而过;在
漏洞利用
阶段如果知识面不广(姿势不够多)的话
st3pby
·
2023-11-22 08:46
安全
web安全
渗透测试
SCTF2021 pwn Christmas Wishes 出题思路+预期解
(
漏洞利用
脚本存在直接成功情况,请在本地搭建环境成功后尝试利用远程,远程环境每五分钟
-令则
·
2023-11-22 05:06
pwn
题目的整理
安全
网安——信息收集
信息收集概览渗透测试的流程确定目标——信息收集——漏洞扫描——
漏洞利用
——形成报告信息收集包括的内容域名信息、IP段、开放的端口、网站架构、文件目录结构、软件版本、WAF、旁站、C段....域名信息收集域名是什么用
序章ʸ
·
2023-11-22 02:40
网络安全
2017php免杀小马,PHP7.1后
webshell
免杀
严格的D盾D盾说,我是个严格的人,看到eval我就报木马,“看着像“=”就是“木马,宁可错杀一千,绝不放过一个。好了,多说无益,一起看看严格的D盾是如何错杀的。我随手写一个php文件:代码如下:functionencode($para0){return$para0;}$b=encode("aaaa");$a="ccc";eval($a);?>很明显没有传参呀,GET和POST都没有,压根儿就不是木
Dilwanga
·
2023-11-21 20:39
2017php免杀小马
php7.2
webshell
,PHP7.1后
webshell
免杀的去路
严格的D盾D盾说,我是个严格的人,看到eval我就报木马,“看着像“=”就是“木马,宁可错杀一千,绝不放过一个。好了,多说无益,一起看看严格的D盾是如何错杀的。我随手写一个php文件:代码如下:functionencode($para0){return$para0;}$b=encode("aaaa");$a="ccc";eval($a);?>很明显没有传参呀,GET和POST都没有,压根儿就不是木
疯狂的马修
·
2023-11-21 20:09
php7.2
webshell
去去去7php7家,php7.1后
webshell
免杀的去路
php7.1后
webshell
免杀的去路严格的D盾D盾说,我是个严格的人,看到eval我就报木马,“看着像“=”就是“木马,宁可错杀一千,绝不放过一个。好了,多说无益,一起看看严格的D盾是如何错杀的。
843792410
·
2023-11-21 20:08
去去去7php7家
一键免杀D盾(
webshell
-venom 3.0 发布) ——yzddMr6
前言我承诺过300个星后放出3.0项目地址:https://github.com/yzddmr6/
webshell
-venom
webshell
-venom3.0更新特点:1.修复已知问题:宝塔在遇到header404
yzddMr6
·
2023-11-21 20:35
PHP
WebShell
免杀
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做
Webshell
。
wespten
·
2023-11-21 20:34
全栈网络安全
渗透测试
代码审计
网络安全工具开发
php
开发语言
webshell
免杀项目-XG_NTAI(八)
简介一个新的
webshell
免杀项目,用了一下还不错,推荐给大家使用。一键免杀冰蝎、哥斯拉等
webshell
的php、jsp木马文件。
SuperherRo
·
2023-11-21 20:01
#
webshell免杀工具
XG_NTAI
php
jsp
webshell免杀
冰蝎
哥斯拉
PHP从零学习到
Webshell
免杀手册
手册版本号:V1.4.1-2023/10/04这是一本能让你从零开始学习PHP的
WebShell
免杀的手册,同时我会在内部群迭代更新开源地址:https://github.com/AabyssZG/
WebShell
-Bypass-Guide
白帽黑客-嘉哥
·
2023-11-21 20:30
php
学习
开发语言
网络安全
安全
网络
web安全
webshell
免杀之数据特征绕过
web应用大多都是使用的框架,基本上所有的获取请求参数内容的方法都是经过框架封装过的,最原始的获取参数内容的方式已经非常少见了,很容易通过一些命令如linux下的find命令通过正则表达式即可找到对应的
webshell
星了个星
·
2023-11-21 20:25
学习
网络
安全
webshell
(中)
今天来说一些不常用的函数gzcompress系列可以看到这里解压后的内容变成了一堆乱码,在这里值得注意的是,如果我们利用方式依旧像base64一样是行不通,因为这一串乱码是无法提过字符串的形式准确的返回给服务端的这里提供了两个思路:1.base64编码再次利用base64编码,如果没有经验的兄弟可能会认为这是多此一举,我直接用base64不就完了么,其实在真正的对抗当中,很多安全设备是可以识别ba
星了个星
·
2023-11-21 20:55
安全
webshell
(下)
加密函数与自写加密函数openssl加密函数:openssl_encrypt方法详解:openssl_decrypt方法详解:函数基本使用:实际利用:自己写加密算法这种方式也比较简单,在很多ctf题目中都喜欢考与,或,取反,异或等进行绕过,其中可以直接用他们进行加密操作,当然如果学过密码学,一些简单的加密方式其实也行,凯莎密码,维吉尼亚密码,替换加密等都是可以尝试的,但是更复杂的算法还是建议,能使
星了个星
·
2023-11-21 20:55
安全
web安全
网络
webshell
免杀之传参方式
PHPSESSID=xxxx这样的cookie,其实这个就可以成为我们的传参位置使用burp抓包将内容改成base64加密后的命令可以看到已经执行成功了,可以看到这个迷惑去非常强,如果不仔细排查是不容易发现的,由于
webshell
星了个星
·
2023-11-21 20:22
java
开发语言
webshell
网络
安全
APP被攻击了该如何做好防御工作180.188.31.x
2.使用安全加速cdn安全加速CDN不同于普通的加速CDN,旨在为网站做加速的同时,专注保护网站/APP/API业务免遭Web攻击,各项
漏洞利用
、CC和DDoS攻击威胁的安全防护产品3.使用无视攻击游戏盾不需要重新转移搭建游戏
德迅云安全-小娜
·
2023-11-21 19:52
服务器
上一页
7
8
9
10
11
12
13
14
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他