密码保护:Burpsuite unicode 中文汉字 burp 请求unicode转中文插件

密码保护:Burpsuite unicode 中文汉字 burp 请求unicode转中文插件
Burpsuite unicode 中文汉字 burp 请求unicode转中文插件 这个是修复版本,本人修复了正则问题,嘿嘿,是不是有点臭不要脸了呢。好吧。 不说首先还是要先装jython的,装完之后再可以用这个插件。这样就算有再乱的 \u9014\u725b\u6e38\u8bb0\u541b\u67099\u4eba\u56de\u590d\u4e86\u4f60\u7684\u8bc4\u8bba\uff0c... jython下载地址:http://www.jython.org/downloads.html ...

PHP反向代理类

PHP反向代理类
改自PHP Reverse Proxy PRP,修改了原版中的一些错误,支持了文件上传以及上传文件类型识别,支持指定IP,自适应SAE环境。 2016年6月17日 修正了SAE跳转的BUG。 使用方法: 1 2 3 4 5 6 7 8 9 <?php $proxy=new PhpReverseProxy(); $proxy->port="8080"; $proxy->host="www.xiumu.org"; //$proxy->cookie="xxxxxxxxxxx"...

利用斯拉夫字母辅助社会工程学攻击思路

利用斯拉夫字母辅助社会工程学攻击思路
【注意:本文及本栏目下的文章都是转载】 文章原地址:https://www.t00ls.net/thread-36454-1-2.html 作者:aircrk   这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。 这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母),点此查看百度百科。 斯拉夫...

【PHP代码审计】 初级入门SQL注入过程

【PHP代码审计】 初级入门SQL注入过程
很多同学不明白SQL注入过程,这里讲解的非常详细,所以就转载过来了。 0x02 环境搭建 PHP+MySql的集成环境特别多,像PhpStudy、Wamp和Lamp等下一步下一步点下去就成功安装了,网上搜索一下很多就不赘述。 这里提的环境是SQLol,它是一个可配置的SQL注入测试平台,包含了简单的SQL注入测试环境,即SQL语句的四元素增(Insert)、删(Delete)、改(Update)和查(Select)。 ...

WAF攻防研究之四个层次Bypass WAF

WAF攻防研究之四个层次Bypass WAF
绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全。在我看来,WAF的绕过技术的研究将不断驱动防御水平提高。 以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面。绕过WAF规则,更像是正面对抗,属于...

点我一个链接就自动化入侵你的内网

点我一个链接就自动化入侵你的内网
参考http://www.freebuf.com/articles/web/103097.html 他这个是攻击web应用的,今天实现的是利用xss或者社工让对方点我的链接,然后利用js自动化攻击内网redis, 利用redis写任务计划批量反弹shell。 js扫内网6379不太好实现,就不进行端口探测了,直接对整个网段执行一遍exp 利用如下代码获取内网ip段: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 ...

SQLMAP tamper WAF 绕过脚本列表注释

SQLMAP tamper WAF 绕过脚本列表注释
sqlmap的tamper目录下有41个用于绕过waf的脚本,网上有文章简要介绍过使用方法,但是只是简单说了其中少数几个的作用。本人通过这41个脚本的文档注释,将它们每一个的作用简单标记了一下,还是像之前一样,先 google translate 再人工润色。其实,文档注释里面都有例子,看一眼就大概知道效果了,比看文字描述速度还快,只不过要用的时候现场翻看还是太麻烦了。我这个列表可...

wiz笔记 python撞库代码

wiz笔记 python撞库代码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 11...

Jenkins脚本命令执行漏洞小总结

Jenkins脚本命令执行漏洞小总结
1,系统介绍 Jenkins是一个开源软件项目,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 2,漏洞描述 Jenkins管理登陆之后,后台”系统管理”功能,有个”脚本命令行的”功能,它的作用是执行用于管理或故障探测或诊断的任意脚本命令,功能如图: jenkins命令执行漏洞 利用该功能,可以执行系统命令,例如执行”whoami”命令,如图所示: 命令执行漏洞 该功能实际...