渗透测试 - 阿城's Blog - 关注网络安全 黑客技术爱好者 

阿城's Blog - 关注网络安全 黑客技术爱好者-阿城's Blog是一个关注网络安全,热爱黑客技术,分享各种技术教程资讯 —关注交流|web安全|漏洞发布|网络攻防|信息安全|网站建设



命令执行漏洞简单讲述

2018-11-25 5:58 作者:阿城 |引用(0) |评论(0) |阅读(108) 渗透测试

1. 远程命令执行漏洞 1. 利用系统函数实现远程命令执行 在PHP下,允许命令执行的函数有: eval() ...

【阅读全文】

ueditor编辑器上传漏洞

2018-10-15 11:53 作者:阿城 |引用(0) |评论(0) |阅读(528) 渗透测试

ueditor ASPX 版本由于远程抓取代码缺陷导致的安全漏洞, 官方仍未修复 controller.ashx 文件默认在网站根目录 输入框里填写远程图片地址 + ?.aspx, 如 ...

【阅读全文】

APP漏洞挖掘之逻辑漏洞

2018-8-31 10:03 作者:阿城 |引用(0) |评论(0) |阅读(798) 渗透测试

0x01任意用户密码重置 首先,我们来看看任意用户密码重置。 方法一:密码找回的凭证太弱,为4位或6位纯数字,并且时效过长,导致可爆破从而重置用户密码。 这里我们来看一个实例,目前厂商已经修复。 验证码为4位纯数字,我们使用BurpSuit...

【阅读全文】

xss跨站脚本攻击原理及利用方法

2018-8-17 18:13 作者:阿城 |引用(0) |评论(0) |阅读(2725) 渗透测试

高清视频下载链接:http://pan.baidu.com/s/1cbA3Tk 密码:673y 在线视频 ...

【阅读全文】

av打赏平台抓包实现0.01观看无码大片

2018-7-6 15:34 作者:阿城 |引用(0) |评论(0) |阅读(1755) 渗透测试

今天无意间在一个微信群看到一大串av链接 精虫上脑的我控制不了自己的手指头,点了进去 看个片也要钱?对于一个穷人 2块肯定是拿不出来的 从微信复制这个链接到电脑打开 ,因为这个打赏平台有user-agent验证 所以这里用到360安全浏览器的魔变插件 ...

【阅读全文】

看我如何利用逻辑漏洞破解付费洗衣机

2018-3-25 12:16 作者:阿城 |引用(0) |评论(0) |阅读(4756) 渗透测试

近期学校搬来了大量洗衣机本以为有洗衣机以后方便了许多, 打开包装一看既然还是收费的?   花钱洗衣服?  试着扫了二维码跳转到一个网页 ...

【阅读全文】

phpinfo()信息泄漏漏洞之提权利用及防范方法

2018-3-4 11:56 作者:阿城 |引用(0) |评论(0) |阅读(1692) 渗透测试

PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息,但这些信息的泄露配合一些其它漏洞将有可能导致系统被渗透和提权。 ...

【阅读全文】

越权漏洞讲解

2018-2-25 5:50 作者:阿城 |引用(0) |评论(0) |阅读(894) 渗透测试

越权漏洞是 Web 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是开发人员在对数据进行增、删、改、查时对客户端请求的数据过于信任而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。 信息遍历 ...

【阅读全文】

任意文件包含漏洞

2018-2-17 12:49 作者:阿城 |引用(0) |评论(0) |阅读(868) 渗透测试

0x01 漏洞成因     通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者检验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。     本地文件包含漏洞&nb...

【阅读全文】

web支付漏洞总结

2018-2-2 15:41 作者:阿城 |引用(0) |评论(0) |阅读(1022) 渗透测试

支付漏洞一直以来就是是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就有可能存在支付问题。本文章将分类来进行讲述支付漏洞当中的那些思路。 首先说下支付问题的...

【阅读全文】

实战cookie手工注入原理附工具

2018-1-30 13:19 作者:阿城 |引用(0) |评论(0) |阅读(1111) 渗透测试

今天遇到可以cookie注入的一个网站就拿来实例演示 cookie注入就是更改本地的cookie,从而利用cookie来提交非法语句。 手工更改本地cookie就要用到javascript了 document.cookie:表示当前浏览器中的cookie变量 ...

【阅读全文】

SQL手工注入基础学习

2018-1-29 11:55 作者:阿城 |引用(0) |评论(0) |阅读(942) 渗透测试

SQL手工注入有两种,第一种是union联合查询,第二种是Ascii逐字解码法 union联合查询语句如下: 首先判断一个网站有没有注入点的语句是  加单引号 ' 或 and 1=1 和and 1=2 and 1=1 网站返回正常,and 1=2 网站返回错误,证明有可能存在注入点 order by语句来查询数据...

【阅读全文】

PHPOKCMS 存储型 XSS 漏洞挖掘

2018-1-27 9:21 作者:阿城 |引用(0) |评论(0) |阅读(770) 渗透测试

概述展开目录 PHPOKCMS 这是一套允许用户高度自由配置的企业站程序,基于 LGPL 协议开源授权!CMS 拥有直观、简洁、轻松愉悦的后台管理 ,完善的功能模块,强大的 SEO 搜索优化 及营销功能。根据黑盒 + 白盒的方式进行挖掘漏洞,黑盒思路发现漏洞,白盒方式审计漏洞。当前版本为 PHPOKCMS 4....

【阅读全文】

 

仅供学习与交流,遵循法律法规 & 如有侵犯您的版权请联系我删除 & 手机版

CopyRight © 2016 阿城's Blog - 关注网络安全 黑客技术爱好者.  All rights reserved.