台部落小毒物

最近測試發現一個登錄處的SQL注入，不用密碼即可登錄系統。首先在登錄處輸入“111'”，出現報錯頁面如圖：判斷可能存在注入進一步利用萬能用戶名測試admin' or '1'='1，不用輸密碼成功登錄。分析一下這個payload：從報錯信息可

2019-06-16 13:43:47

破解之後進行設置設置代理端口8888 ssl代理設置允許所有地址連接手機獲取證書之前，先在電腦安裝證書，需要信任。help-->ssl-proxying-->Install Charles Root Certificate help

2019-05-26 13:43:47

rt發現一處redis未授權，進行反彈shell。輸入反彈命令：主機監聽端口：反彈成功。

2019-05-16 13:44:36

以前總是不喜歡自己搭環境驗證漏洞，後面覺得總不好，大概少了可依賴的人，還是要自己慢慢一點點的學習。 1、驗證環境服務器：win server 2008 R2 64位jdk版本：1.8.0_65weblogic版本：12.1.3 2、安裝

2019-05-06 13:42:07

主要操作思路：更改數據包中的type值。當type爲空的頁面時候返回html，雖然插入了xss代碼並沒有彈窗，如圖更改type值，頁面返回json數據當原本type就存在值怎麼辦呢，可以試試改變傳輸方式，將POST請求改成GET 附加

2018-12-16 13:16:47

awvs安裝出現：database service cannot be started（安裝出現無法啓動數據庫服務）錯誤解決辦法關閉殺軟例如360試試。

2018-11-22 02:26:56

每天重複的工作，總算在幾個月之後又找到了一絲樂趣。這兩天測試遇到了幾個還算有意思的XSS，所以記錄並分享一下。【一】簡單介紹一下第一個XSS的情況：輸入的位置在url中直接輸入<，"，等特殊字符會返回400，如圖嘗試輸入url編

2018-11-04 02:20:53

最近公司組織了一次爲期兩個小時的CTF培訓，主要是講一些思路。雖然沒什麼乾貨，不過積累總是好的。 * 做題邏輯：根據分值來判斷題目難易程度，在有限時間裏可以捨棄認爲有坑或者做不出的題目，如果隊伍中某個人有信心能夠做出最高分的題，可以給他

2018-10-30 02:22:24

最近在學習kali的相關使用，朋友說不如就復現cve-2017-8570吧，我欣然答應。 0x00介紹CVE-2017-8570是一個邏輯漏洞，成因是Microsoft PowerPoint執行時會初始化“script”Moniker對象

2018-09-11 04:59:54

關於Drozer的文章網上蠻多的，最近下載一個玩了一下，自己安裝還是遇到了問題，下面分享一下。首先得有JDK環境，安卓手機或者模擬器，adb，環境要配置好。在cmd中輸入adb devices不會報錯，就說明adb環境沒問題了。若遇到如

2018-09-11 04:59:54

接觸信息安全是在2015年，那時候被老鄉拉去學校實驗室湊人數。聽不懂讓我僅僅是抱着“去看看，湊熱鬧”的心態加入了各種羣。然後改變我想法的人出現了，學長的同事講了一節關於SQL注入的課，當時也是聽不懂，後面加了講課那個人的QQ私聊問問題。然後

2018-09-11 04:59:54

現在依然還有很多教學視頻、資料是使用之前的kali版本。隨着更新有些命令是不適應最新的kali的。（也是掉過坑的人）msfvenom集成了msfpayload和msfencode，2015年之後移除了後兩項。再按照某些教程輸後兩個命令是不行

2018-09-11 04:59:53

一認識了一個人A，80後，已經快30了，認識的時候沒有女朋友。那個時候，他說他追過一些女生，也有相親。但錯過一次之後後面的就都不是很滿意了。30歲的年紀，可以說是一個家人親戚朋友都着急的年紀了。不過其實他長的很好，一點都不像30歲，白白胖

2018-09-11 04:59:37

繼續練習metasploit的使用，這次復現的是11882這個漏洞，但是最後並沒有成功（已經把我逼瘋）。這裏記錄兩個復現方式，希望有緣人能夠爲小女子解答最後不成功的原因，小女子感激不盡。就不去介紹這個漏洞了，網上搜一大把的。下面直接放兩

2018-09-11 04:59:36

最近使用PentestBox工具時，出現“’doskey‘不是內部或外部命令“，然後輸入任何命令均是”不是內部或外部命令“。解決“’doskey‘不是內部或外部命令“方法：在系統變量path中加入‘C:\windows\system32’這

2018-09-11 04:59:36