暗月博客|网络安全,WEB渗透,数据安全,渗透编程,安全培训

PageAdmin CMS最新版SQL注入(官方DEMO测试)

mOon    漏洞收集     367次查看    抢沙发    2016年05月23日

简要描述: PageAdmin CMS最新版SQL注入 详细说明: #1 一个越权 /e/master/build_static.aspx code 区域 protected void Page_Load(Object src,EventArgs e) { Ids=Request.QueryString["ids"...

tipask注入漏洞分析(附exp)

mOon    原创作品     332次查看    抢沙发    2016年05月20日

tipask注入漏洞分析 ps 几百年没写文章了。有点生疏 各位看客 凑合看下吧。 前几天在52py看到tipask注入利用工具 http://www.52py.org/forum.php?mod=viewthread&tid=1268 以下是lcy帅哥写的exp #encoding=utf-8 #tipask注入...

Codeigniter 利用加密Key(密钥)的对象注入漏洞

mOon    代码审计     736次查看    抢沙发    2016年05月06日

原文链接:http://www.mehmetince.net/codeigniter-object-injection-vulnerability-via-encryption-key/ 0x00 背景 大家好,Codeigniter 是我最喜爱的PHP框架之一。和别人一样,我在这个框架中学习了PHP MVC编程。今天,我决定来分析一下Codeigniter的PH...

CI框架中的SQL注入隐患

mOon    漏洞收集     447次查看    抢沙发    2016年05月06日

0x00 在CI框架中,获取get和post参数是使用了$this->input类中的get和post方法。 其中,如果get和post方法的第二个参数为true,则对输入的参数进行XSS过滤,注意只是XSS过滤,并不会对SQL注入进行有效的防范。 例子: Controller中,定义一个shit方法,获取get数据: ...

apache structs2 s2-032技术分析及漏洞检测脚本

mOon    漏洞收集     933次查看    抢沙发    2016年04月29日

Apache Structs2 s2-032技术分析及漏洞检测脚本 天融信阿尔法实验室 张萌  姜利晓 李明政     天融信阿尔法实验室针对structs s2-032远程代码执行漏洞做了相关的技术分析并提供了批量漏洞检测脚本供大家下载测试。 关于该漏洞的分布和影响,天融信阿尔法实验室正在做相关的数据...

dz论坛密文生成器【Python】

mOon    原创作品     850次查看    抢沙发    2016年04月27日

dz论坛密文生成器【Python】 一般我们去cmd5.com 解密 破解dz的密文 还是很有难度的。当cmd5破不到的时候, 倒不如自已生成一些密文 然后碰撞 dz uc_server的生成密文方式:         $salt = substr(uniqid(...

INURLB,一款高级黑客搜索引擎工具

mOon    神器下载     2362次查看    抢沙发    2016年04月15日

INURLB是一款基于PHP的黑客高级搜索引擎,其支持24个搜索引擎,拥有6个深度web或者特殊选项。这些对于渗透测试的信息收集和漏洞评估,有着十分重要的意义。 这个工具拥有各方面的功能,能让你利用内置的搜索引擎,分析你需要攻击的目标。这样就能发现目标可能存在的漏洞、email地址,以及递归认证发现URL。 它也支持外部的攻击命令...

SQLMAP tamper WAF 绕过脚本列表注释

mOon    渗透测试     3371次查看    抢沙发    2016年04月10日

sqlmap的tamper目录下有41个用于绕过waf的脚本,网上有文章简要介绍过使用方法,但是只是简单说了其中少数几个的作用。本人通过这41个脚本的文档注释,将它们每一个的作用简单标记了一下,还是像之前一样,先 google translate 再人工润色。其实,文档注释里面都有例子,看一眼就大概知道效果了,比看文字描述速度还快,只不过要用的时候现场翻看还是太麻烦了。我这个列表可以给大家提...

使用LINQ解除SQL注入安全问题

mOon    渗透测试     609次查看    抢沙发    2016年04月08日

在渗透测试之中遇到这种真是麻烦。 在开发人员承受越来越多的安全责任之时,许多开发人员了解到的第一个Web应用安全漏洞,是一个被称为“SQL注入”的极危险的命令注入形式。命令注入的原始的形式本是指这样一种漏洞:攻击者通过提供一个正常使用者意料之外的输入,改变你的Web应用程序的运行方式,从而允许攻击者运行服务器上的非授权的命令。无疑,SQL注入式攻击是很常见的、被广泛使用的攻击形式...

多线程列子

mOon    渗透编程     768次查看    抢沙发    2016年03月28日

# -*- coding: utf-8 -*- from BeautifulSoup import BeautifulSoup import requests import threading import Queue import time with open('url.txt') as f:     l = f.readlines()...