admin的文章

13年前 (2013-06-30) 1723浏览 0评论

搭建好xsser.me平台后，可以正常使用来进行跨站了。但是，发现平台接收到xss时间有出入不是准确的时间。由于服务器是在美国，所以怀疑时间不对是因为php时区设置的原因。 翻了一下源码，在config.php中有时区设置，当时根据教程改为$conf...

13年前 (2013-06-29) 1853浏览 0评论

0x01 起因 0x02 失败的忽悠 0x03 傻逼的旁站 0x04 峰回路转 0x05 爆发人品 0x01 起因 因为给被几杯马里奥（马尿）下肚，就和老师吹牛，然后就被认为神一般的程序员。其实都是网上down的，所以苦逼的事情发生了。就被要求写个教...

13年前 (2013-06-29) 1918浏览 0评论

摘要 : 上个月，Google把“相似图片搜索”正式放上了首页。 你可以用一张图片，搜索互联网上所有与它相似的图片。点击搜索框中照相机的图标。 一个对话框会出现。 你输入网片的网址，或者直接上传图片，Google就会找出与其相似的图片。下面这...

13年前 (2013-06-29) 1689浏览 1评论

摘要 : 上个月，Google把“相似图片搜索”正式放上了首页。 你可以用一张图片，搜索互联网上所有与它相似的图片。点击搜索框中照相机的图标。 一个对话框会出现。 你输入网片的网址，或者直接上传图片，Google就会找出与其相似的图片。下面这...

13年前 (2013-06-29) 2217浏览 0评论

上一篇中介绍了圈圈网通过xss和基础钓鱼获取管理员账号口令信息，在此详细介绍。 一、基础钓鱼利用 1、登陆圈圈网http://www.ihelpoo.com/后在个人主页上可以“记录生活”，与其他位置不同的是此处图片允许从输入网络图片地址，但未对图片...

13年前 (2013-06-29) 1853浏览 0评论

虽说平时也查看一些网站的whois信息，但是从来没有实质上利用过whois信息。今天跟师兄渗透一个网站时利用到了whois信息，现总结一下。 网站：http://www.ihelpoo.com。网站存在xss漏洞和对图片url没有过滤导致可以进行弹窗...

13年前 (2013-06-29) 2215浏览 0评论

单位某站用的dedecms,今天被某黑阔getshell了，提交到了wooyun. 为了还原黑阔入侵的手法，用鬼哥的getshell测试居然没成功, 是不是getshell过一次，再次就不会成功呢？ 无奈只能打包代码，用各种webshell扫描器只扫...

13年前 (2013-06-28) 1744浏览 0评论

浏览器搜索框劫持钓鱼 http://h43z.koding.com/blog/leaked.html 如以上网站所显示，当你按下ctrl+f 或win+f  组合键是就会弹出一个搜索框其实这个所说框是黑客所伪造的。 攻击流程：当一名攻击者将一个...

13年前 (2013-06-28) 2194浏览 0评论

1、前言 在渗透测试中我们的首要任务就是收集信息,那么通过网络指纹识别那是比不缺少的一个环节。下面我们就来介绍几种常见网络识别方法。 2.1 Netcat 如果我们要知道一台服务器是采用什么作为http服务器,那么netcat就是一个不错的选择。 r...

13年前 (2013-06-28) 2138浏览 0评论

常见的服务器溢出提权方法 作者：admin 发表于：2012-06-16 　 点击：3,004 0×00 前言 0×01 找可写目录 0×02 运行exploit提权 0×03 附录 0×00 前言 溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把...

13年前 (2013-06-28) 2591浏览 0评论

大家都知道有的上传程序会重新绘图来验证图片的合法性，如果不能绘图则视为非法文件，所以我们用CMD的copy命令中的/b参数来把马和图合并成一个文件，今天教你一招不用CMD命令一秒钟制作传说中的图片木马！only a tag~ 看图即可 图片一句话木...

13年前 (2013-06-28) 2428浏览 0评论

Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件： 方法 1： 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。 方法2： 使用 IMofCompiler 接口...

13年前 (2013-06-28) 1982浏览 0评论

wordpress3.5.1后台修改主题模版处防CSRF不严，前台评论可加入超链接，可写上诱惑性东西 骗取管理员点击后写入一句话木马 进入后台-外观-编辑。选择编辑Twenty Twelve主题下的404.php文件。将原内容去掉，换成一句话木马，...

13年前 (2013-06-28) 1807浏览 0评论

一点心得： 昨天在一个mysql数据库的console里面直接导出一句话的时候 用这种网上说的直接写出不成功 1 select 0x3c3f706870206576616c28245f524551554553545b636d645d293...

13年前 (2013-06-28) 2257浏览 0评论

转自：网络安全攻防研究室  http://www.91ri.org/6438.html 记得09年时wp爆过一个重置管理口令的漏洞, 现在用法差不多, 也是我刚刚发现, 网上也没找到有讲述关于这个的. 前提:是在有注入点(注入点的话可以通过寻找插件漏...

13年前 (2013-06-28) 2164浏览 0评论

作者: 善用佳软　　日期: 2013-06-18　　分类: windows, 系统工具　　 标签: Everything [2013-06-18 更新] Everything V1.3.3.653b发布：增加64位版本；增加Home页；增加运行历史；...

13年前 (2013-06-28) 2913浏览 0评论

FileZilla 是经典的开源FTP解决方案，包括FileZilla客户端和FileZilla Server。其中，FileZilla Server的功能比起商业软件FTP Serv-U毫不逊色。FileZilla Server几乎无用户数限制；...

13年前 (2013-06-28) 2880浏览 1评论

大家好，好久不见，有很多朋友说我怎么不更新了，是这样的： 1. 我在聚焦在更重要的事情上； 2. 我们这个公众号受众分布比较奇怪，有些东东忍住没发，发了有口水，不过我们已经做好打些口水战的准备了； 3. 以后这个公众号不仅我在写，知道创宇安全研究团...

13年前 (2013-06-28) 1800浏览 0评论

下载地址 ： 点击下载 转自：http://www.hack1990.com/cat_5/1608.html 已经下载到本地，文件名为：qing-bug.rar。 转载请注明：jinglingshu的博客 » @EXP漏洞利用大全...

13年前 (2013-06-28) 1545浏览 0评论

收集了一些利用Sqlmap做注入测试的TIPS，其中也包含一点绕WAF的技巧，便于大家集中查阅，欢迎接楼补充、分享。 TIP1 当我们注射的时候，判断注入 http://site/script?id=10 http://site/script?id=...