行云博客

LV0
发表了文章

网站克隆:setoolkit社工软件

安装beef-xss:apt install beef-xss 安装完成之后运行beef-xss:

行云博客
发表了文章

msf工具之木马程序制作以及伪装

将木马程序点击执行,监听端口得到回应,成功控制电脑 输入shell,彻底控制电脑

行云博客
发表了文章

Github文件在线加速下载

众所周知,GitHub是一个巨大的开源宝库,以及程序员和编程爱好者的聚集地,诸多优秀的开源项目全部都是位于GitHub上。但是每当我们看到优秀的开源项目,准备去...

行云博客
发表了文章

XXE实体注入漏洞详解

DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个...

行云博客
发表了文章

任意文件包含漏洞的绕过方式

PS:当这些符号被过滤时,我们可以尝试URL编码绕过。即当“.”和“./”被过滤时,我们可以尝试使用URL编码绕过“.”–>%2E,“/”–>%2F

行云博客
发表了文章

任意文件包含漏洞原理解析及演示

使用burpsuite抓包再改包 Payload: http://192.168.232.128/file.php?a=php://input

行云博客
发表了文章

中间件的解析漏洞详解及演示

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 sec.php.owf.rar “.owf”和”.rar”...

行云博客
发表了文章

基于JavaScript的rce反弹shell漏洞

kali攻击机 192.168.232.131 win10靶机 192.168.232.140

行云博客
发表了文章

RCE(远程命令/代码执行漏洞)原理及复现

RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。

行云博客
发表了文章

SSRF服务端请求伪造——原理及绕过姿势

行云博客
发表了文章

CSRF跨站请求伪造——原理及复现

行云博客
发表了文章

sql注入原理及危害

前端构造的SQL语句片段拼接到后台SQL语句中,后台缺乏正确识别和过滤,造成与其外的数据库查询结果。

行云博客
发表了文章

XSS原理详解

目标:前端脚本解析器,比如浏览器的javascript解析引擎、IE中的VBScript解析引擎。

行云博客
发表了文章

SQL注入之dns回显注入

http://192.168.232.128/sqllabs/Less-8/?id=1' and load_file(concat("\\\\",databas...

行云博客
发表了文章

SQL注入之宽字节注入

西欧字母符号,通过1个字节来表示。东亚字符通过至少两个字节来表示。GBK编码就是用两个字节来表示中文区字符的一个编码标准。

行云博客
发表了文章

Adobe Flash爆出严重漏洞:可导致代码任意执行 获取个人隐私

众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发...

行云博客
发表了文章

PHP建议禁用的危险函数

PHP配置文件中的disable_functions选项能够在PHP中禁用指定的函数。PHP中有很多危险的内置功能函数,如果使用不当,可造成系统崩溃。禁用函数可...

行云博客
发表了文章

PHP安全配置

在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:

行云博客
发表了文章

文件上传的原理及条件

通过伪装成正常文件上传,并获得合法的格式通过后实现后端server的执行 前端:js 后端:动态语解析[php、.net、asp、JSP] 攻击者可以上传...

行云博客
发表了文章

SQL注入的基本步骤

​ union select 1,2,group_concat(table_name) from information_schema.tables where...

行云博客

个人简介

个人成就

扫码关注云+社区

领取腾讯云代金券