首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8085
文章
9119332
阅读量
349
订阅数
Enumdb:一款针对MySQL和MSSQL关系型数据库的安全渗透后利用工具
关于Enumdb Enumdb是一款针对MySQL和MSSQL关系型数据库的安全渗透后利用工具,该工具主要针对关系型数据库设计,并支持暴力破解和后利用渗透测试。广大研究人员可以提供一个用户名或密码列表,该工具将会在每个主机中寻找能够匹配的有效凭证。默认配置下,Enumdb将会使用新发现的凭证信息,并通过对表或列名的关键字搜索来自动搜索敏感数据字段,最后将所有信息提取出来并写入到.csv或.xlsx输出文件中。 需要提取的数据行数、数据库/表黑名单和搜索的关键字都可以在enumdb/config.py文件中
FB客服
2023-02-24
1.1K0
安全大事件!360万+MySQL服务器暴露在互联网上
据Bleeping Computer报道,至少有360万台MySQL服务器已经暴露在互联网上,这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。
FB客服
2022-06-08
1.1K0
vAPI:一个自托管的OWASP Top 10漏洞API靶场
vAPI是一款针对OWASP Top 10漏洞的练习靶场,vAPI项目是一个故意引入了多种漏洞的可编程接口API,广大研究人员可以利用vAPI来研究和练习OWASP Top 10漏洞。
FB客服
2022-06-08
1.6K0
通过 BlueCMS 学习 php 代码审计
最近一直在学习php代码审计,入门过程比自己想象的慢很多,现在各个行业都在内卷,代码审计随着 web 开发技术的发展也会变得更加复杂。但不管现在技术多成熟,多复杂,基础知识一定要扎实。先记录下我目前学习php代码审计的过程:
FB客服
2021-09-16
1.6K0
记一次Fuzz绕WAF实现SQL 注入
本文使用自己编写的Python脚本,实现绕过某WAF限制,实现SQL注入。先解释一下Fuzz概念,Fuzz是安全测试的一种方法,面对waf无所适从的时候,可以使用Fuzz模糊测试来绕过waf,甚至你可以发现一些意想不到的payload语句。
FB客服
2021-07-02
1.3K0
phpmyadmin如何获取shell
secure_file_priv 是用来限制 load dumpfile、into outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限
FB客服
2021-05-20
9010
记一次针对SupeSite的中转注入实战
近期在一次演练行动中,对某目标进行了一次渗透测试,期间用到了sqlmap的中转注入技术,还是很有收获的,记录下来和大家共同分享,由于是实战,免不了部分地方是要马赛克的,大家见谅。
FB客服
2021-03-09
9200
技术研究 | 绕过WAF的常见Web漏洞利用分析
本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。
FB客服
2020-12-18
1.4K0
MySQL分布式逻辑备份
定期备份的重要性在数据库生命周期中已得到体现。有不同的风格:二进制的(Percona XtraBackup),二进制日志备份,磁盘快照(lvm,ebs等)和经典的:逻辑备份,可以使用mysqldump,mydumper或mysqlpump等工具进行的备份。它们每个都有特定的用途,MTTR,保留策略等。
FB客服
2020-09-14
8050
Java安全编码之SQL注入
随着互联网的发展,Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和MyBatis 为例来介绍,如何在编码过程中避免SQL注入的几种编码方法,包括对预编译的深度解析,以及对预编译理解的几个“误区”进行了解释。备注,本文是Java语言安全编码会是系列文章的第一篇。
FB客服
2020-09-04
1.6K0
等保测评2.0:MySQL安全审计
虽然遇到这些插件的概率不高,我还是把这些插件的基本参数都列出来,到时候如果真遇到了,也不至于一头雾水。
FB客服
2020-03-24
4.2K0
等保测评2.0:MySQL身份鉴别
本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。
FB客服
2020-03-18
3.2K0
等保测评2.0:MySQL访问控制
这里的意思是应该是你本来就存在“多个账户”,然后当用户使用时要适当的“分配账户”给用户,而账户再拥有不一样的权限,这样就实现了将权限通过账户分配给用户(自然人)。
FB客服
2020-03-17
2.6K0
渗透痕迹分析随笔
网上,关于入侵痕迹分析的文章很多,在此将个人工作中常用的一些方法技巧(班门弄斧了),以及爬过的坑总结如下(当然,其中有些方法也是从各位前辈的经验中学习的)。入侵痕迹分析,不外乎正向推理,和逆向推理。当已经掌握部分线索时,可通过逆向推理,快速确定事发时间、影响范围、事发原因等;当没有明确的线索,可以入侵者的视角,通过正向思维进行推理,从而发现入侵行为;两种方法都可以以敏感文件、敏感命令、敏感IP、攻击特征关键字为线索,推理出事发时间、事发原因。
FB客服
2020-02-20
1.2K0
phpMydmin的GetShell思路
phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。
FB客服
2020-02-20
6410
提权总结以及各种利用姿势
本文章适合正在学习提权的朋友,或者准备学习提权的朋友,大佬就可以绕过了,写的比较基础。我也是一个小白,总结一下提权的姿势和利用,也分享一些自己觉得好用的方法给大家,欢迎大家帮我补充,有什么好用的提权的方法也可以分享一下,大家共同进步。本篇有自己的理解,如果有什么不对的或者不好的地方希望大家不要喷我,但是欢迎帮我指正。
FB客服
2019-12-03
2.3K0
从宽字节注入认识PDO的原理和正确使用
随着数据库参数化查询的方式越来越普遍,SQL注入漏洞较之于以前也大大减少,而PDO作为php中最典型的预编译查询方式,使用越来越广泛。
FB客服
2019-10-22
1.2K0
ZZCMS v8.2 代码审计
大家好,我是kn0sky,在此我将把我这一次进行的代码审计的发现与收获都记录分析分享一下,笔者初入代码审计不久,审计的方法也比较新手,本文有点倾向于面向代码基础薄弱的童鞋,如果有什么做的不好的地方或者有什么更好的建议,希望大家能够指出,欢迎大家与我私信交流,在此提前谢谢大家啦~
FB客服
2019-10-15
1.3K0
论Nmap中一些常用的NSE脚本
在这篇文章中,我们将研究最著名的渗透工具之一 Nmap 一款标志性的跨平台扫描器。它的原意为Network Mapper(网络映射器),具有相当强大的扫描功能,几乎适用于任何渗透场景。不少人甚至认为它就是全球最好的扫描软件。除了常规的网络扫描,Nmap还可根据NSE (Nmap scripting Engine)的脚本进行大量渗透工作,这种脚本是基于Lua编程语言,有点像javascript。正是NSE,使得Nmap不再普通。
FB客服
2019-08-26
1.2K0
HFish:企业安全测试主动攻击型蜜罐钓鱼框架系统
HFish是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统,为了企业安全防护测试做出了精心的打造。
FB客服
2019-08-09
9280
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档