暗月博客|网络安全,WEB渗透,数据安全,渗透编程,安全培训

记一次境外站渗透过程

mOon    渗透测试     2369次查看    抢沙发    2017年07月08日

一个境外的山寨网站,也是有意思~~~因为挺久没有做渗透了,在渗透的过程中还是发现了一些比较有意思的东西 一、目标环境 操作系统:Windows Server 2008 R2 服务器容器:IIS 7.5 应用脚本:ASP.NET 数据库:MSSQL 二、注入点 网站只有一个登陆口...

Struts2 再爆高危漏洞S2-048 来了

mOon    渗透测试     1253次查看    抢沙发    2017年07月08日

漏洞名称: Struts2 远程命令执行漏洞 S2-048 影响版本: Struts 2.3.x 漏洞等级: 高危 漏洞描述 ...

application/json 四种常见的 POST 提交数据方式

mOon    渗透测试     2189次查看    抢沙发    2017年06月29日

四种常见的 POST 提交数据方式     HTTP/1.1 协议规定的 HTTP 请求方法有 OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT 这几种。其中 POST 一般用来向服务端...

看我如何使用数据格式混淆来绕过WAF进行攻击?

mOon    渗透测试     1182次查看    抢沙发    2017年06月29日

这个问题目前是没有成功解决,因为解析相关数据类型需要进行准确的流量分析。很多防火墙只是采用了一些很简单的方法对这些数据进行处理。在处理HTTP协议中,常见简单方法如下: 1. 使用Content-Type HTTP标头进行检查 2. 使用最适合的数据类型 3. 手动配置每一个数据的数据类型。 上述的第一种方法是确实是很合理的,不过它有很严重的缺点。首先,不是所有的数据...

高级SQL注入:混淆和绕过

mOon    渗透测试     1446次查看    抢沙发    2017年06月29日

内容 ############# ######################## 【0×01】 – 简介 ######################## 大家好,这是一篇致力于文档化我们所从事的高级SQL注入技术的文章。 本文将要揭示能用于现实CMSs和WAFs程序中的高级绕过技术和混淆技术。文中所提到的SQL注入语句仅仅是一些绕过保护...

bypass最新版360主机卫士继续注入

mOon    渗透测试     1382次查看    抢沙发    2017年06月29日

序言   主机卫士是360旗下的服务器安全软件,为站长免费提供网站后门检测、木马查杀,网站补丁、漏洞防护等服务。这么多年因为主机卫士的存在,让我们站长一直免于被黑客攻击。不过任何一款软件都会有不足的地方,今天   测试流程   1 我们先直接加上单引号试试: http:/...

最近更新的过WAF(防火墙教程)

mOon    业界见闻     2282次查看    2条评论    2017年06月13日

绕过360主机卫士【上传】与【注入】 实战过360主机卫士上传 与 绕过注入 过云锁注入 中国菜刀(chopper)绕过狗安全拦截 最新绕过安全狗上传 aspx绕过iis安全狗继续注入 有兴趣欢迎加入。

各种数据库中的时间延迟技术

mOon    渗透测试     1311次查看    抢沙发    2017年06月05日

本文从使用浏览器与Web应用进行交互这一视角来讨论发现SQL注入问题时所涉及的时间延迟技术。 测试应用程序是否存在SQL注入漏洞时,经常发现某一潜在的漏洞难以确认。这可能源于多种原因,但主要是因为Web应用未显示任何错误,因而无法检索任何数据。 对于这种情况,要想识别漏洞,可以向数据库注入时间延迟,并检查服务器的响应是否也已经产生了延迟。时间延迟是一种很强大的技术,W...

一款开源指纹识别工具。

mOon    神器下载     3108次查看    抢沙发    2017年05月23日

一款开源指纹识别工具。   ******************************************************************************************************************************************** ***************************...

WanaCrypt0r勒索蠕虫完全分析报告

mOon    业界见闻     1643次查看    抢沙发    2017年05月14日

日期:2017-5-13 0x1 前言 360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者...