首页
学习
活动
专区
工具
TVP
发布

Bypass

专栏成员
231
文章
592102
阅读量
61
订阅数
基于AD Event日志检测NTDS凭据转储攻击
在域环境里,域内用户hash存储在域控制器(ntds.dit)中的数据库文件中,ntds.dit文件是无法直接被复制的。在这种情况下,我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝,然后下载进行离线分析和破解用户哈希。
Bypass
2022-12-01
5640
Linux 命令被劫持了,怎么处理
在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。
Bypass
2021-03-04
2.2K0
窃取MSSQL各版本密码HASH
MSSQL使用自制的密码哈希算法对用户密码进行哈希,在内网渗透中,大多数服务口令都是一样的,收集MSSQL数据库的用户和密码可能会有用。
Bypass
2021-02-03
3.5K0
SQL注入速查笔记
load_file和into outfile用户必须有FILE权限,并且还需要知道网站的绝对路径
Bypass
2020-11-04
6740
MySQL注入点写入WebShell的几种方式
在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。
Bypass
2020-04-26
1.4K0
那些可以绕过WAF的各种特性
在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构造Payload,从而可以和各种WAF进行对抗,甚至绕过安全防御措施进行漏洞利用。
Bypass
2020-03-26
1.6K0
删库跑路的背后,是企业对数据安全的反思
这几天,一直在关注微盟删库事件的进展,在3月1日晚上,微盟发布最新公告称数据已经全面找回。而此时,距离事故发生的2月23日晚,过了有足足七天七夜,也就是7*24小时。
Bypass
2020-03-16
6810
如何编写一个SQL注入工具
  一直在思考如何编写一个自动化注入工具,这款工具不用太复杂,但是可以用最简单、最直接的方式来获取数据库信息,根据自定义构造的payload来绕过防护,这样子就可以。
Bypass
2020-02-26
7630
MySQL日志安全分析技巧
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
Bypass
2019-07-08
1.3K0
PHP代码层防护与绕过
  在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。
Bypass
2019-07-08
1.3K0
【渗透技巧】内网渗透思路
假如,有一个接入点,可以访问内网服务器网段,如何尽可能的发现服务器网段中可能面临的威胁、存在的安全弱点?
Bypass
2019-07-08
2.1K0
Bypass 360主机卫士SQL注入防御(多姿势)
在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御。
Bypass
2019-07-08
1.8K0
Bypass ngx_lua_waf SQL注入防御(多姿势)
ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则:
Bypass
2019-07-08
9610
WAF Bypass数据库特性(Oracle探索篇)
相比于Mysql/MSsql,它的特性相对较少,但确有其特殊之处,比如空白字符可以用%00替代,一个获取数据库版本的语句就这么长。一起去探索一下Oracle数据库特性,挖掘能够绕过WAF防护的数据库特性。
Bypass
2019-07-08
1.4K0
PHP代码审计笔记--CSRF跨站请求伪造
  CSRF(Cross-site request forgery)跨站请求伪造。攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚至于交易转账等。
Bypass
2019-07-08
1K0
基于端口的弱口令检测工具--iscan
亲手打造了一款基于端口的弱口令检测工具,使用python进行编写,主要可以用于渗透测试中常见服务端口弱口令的检测。目前支持以下服务:
Bypass
2019-07-08
3.3K0
【代码审计】两个简单的CSRF漏洞实例
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站,这边分享两个漏洞代码示例。
Bypass
2019-07-08
1.1K0
【代码审计】SQL二次编码注入漏洞实例(附tamper脚本)
在/content/search/index.php中,首先对参数keyword进行非法字符检测:
Bypass
2019-07-08
1.2K0
【代码审计】MIPCMS 远程写入配置文件Getshell
MIPCMS - 基于百度MIP移动加速器SEO优化后的网站系统。在审计代码中,发现一个可以远程写入配置文件Getshell的漏洞,感觉挺有意思的,分享一下思路。
Bypass
2019-07-08
1K0
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档