小白安全博客

小白记忆
专注网络安全

日志归档

2018年1月发布的文章

渗透测试

Freebuf漏斗专栏之代码审计| Axublog前台SQL注入到后台GetShell

0×00 背景 看了cnvd上有师傅发了Axublog 的漏洞,便对该源码进行分析和漏洞复现,在漏洞复现过程发现可以将这些漏洞组合利用从而通过前台SQL注入与后台任意文件上传可以轻松获取GetShell,当然该源码还存在许多安全问题,本篇未涉及。 源码下载地址:http://pic.axublog.com/axublog1.0......

阅读(438)评论(0)

漏洞

转载Freebuf文章【通过adbd配置漏洞在安卓设备上提升权限】

近日,Android上的一个本地提权漏洞已被确认,该漏洞可通过设备上运行的Android Debug Bridge Daemon(adbd)被利用。 如果一个安卓设备被发现正在运行于TCP端口监听的adbd,那么设备上运行的恶意程序就可以进行连接和身份验证,从而实现提权。该漏洞影响版本为Android 4.2.2到Android 8.0,......

阅读(419)评论(0)

工具及应用

渗透测试单行化工具One-Lin3r

One-Lin3r One-Lin3r是一款简单的轻量级框架,而该工具的灵感来自于Metasploit的web-delivery模块。该工具提供了多种命令,例如: 1.   Reverser:提供IP及端口号,它将返回一个可直接使用的反向Shell; ......

阅读(893)评论(0)

建站相关

EMLOG启用HTTPS访问详细教程

https支持已集成到Emlog 6.0,以下内容仅适用于Emlog 5.x用户,在进行修改之前,请先确定服务器已正确配置https,并且备份所有文件,防止遇到兼容性问题。 1. /include/lib/option.php 请将以下内容粘贴到 get function 的 default 判断分支之前 (在Emlog 5.......

阅读(588)评论(0)

安全资讯

FEERBUF--Microsoft Office之DDE攻击

Microsoft Office可以说是使用最广泛的办公软件。然而就是因为这样,也使它成为了黑客的主要攻击目标之一,例如在网络安全对抗赛中红队会用它来窃取域哈希,甚至执行任意代码。 从以往的攻击手法上看,在Microsoft Office中执行任意代码往往是通过宏来实现的。那么,有没有其它方法可以实现任意代码执行呢?答案是肯定的。Sense......

阅读(622)评论(0)

WEB安全

检测是否含有挖矿脚本的WiFi热点

前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。 与加密货币相关的安全事件总是引人注目,我们除了认识到门罗币具有一定的入手价值外,还再次见识到了公共WiFi的危险。不久后[Arnau Code写了一篇文章,详细介绍了如何通过MITM攻击植入JavaScript代码,......

阅读(485)评论(0)

工具及应用

左昱_leftshine-FILEtoJPG-神秘文件

FILEtoJPG-神秘文件(文件神隐助手) 论坛神器!彩虹系列作品之神秘文件(文件神隐助手),帮你隐藏文件的好帮手! 已更新,移除对winRAR的依赖 放张大图镇帖: 此图略丑,但是很有用,文末告诉你答案 1.本程序可以将文件隐藏在图像文件中,将文件与图片合成后,图片......

阅读(457)评论(0)

渗透测试

SQL注入实战

本文仅供学习交流,目的是为了构建更加安全的网络环境! 注入地址 某VIP会员专用系统http://www.tcmpv.com/index.php/Home/Public/login.html 相关工具 注入工具: 超级SQL注入工具【SSQLInjection】http://www.shack......

阅读(478)评论(0)

渗透测试

利用漏洞破解360及云锁防护最终拿下服务器

首先来给大家介绍一下这个服务器的安全防护,这次的目标服务器上安装有360和云锁防护软件,所以想要快速的拿下基本上是不太可能了,只能一步一步的来,慢慢的突破他的防线! 1.发掘漏洞,利用漏洞打好开局第一枪 找呀找,终于找到了一个漏洞,好嘞!直接执行“whoami”命令 请点击此处输入图片描述 ......

阅读(903)评论(0)

渗透测试

危险漫步利用图片链接完成注入渗透

利用图片链接完成注入渗透 最近危险漫步闲着无聊就翻墙去国外看了一看黑客新闻,有一条新闻引起了我的关注,那就是国外某黑客黑了Word文档,导致了一家公司损失了数千万美金,整个事件我就不多说了,大家可以去去谷歌查看。 这次危险漫步要和大家讲的就是黑客与Word之间的故事。 Word经常被黑客利用来做一些黑产,这个事情我是......

阅读(540)评论(0)

工具及应用

安全扫描器Nmap渗透使用教程

介绍 nmap是用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图Nmap的发送特制的数据包到目标主机然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。 特点 主机探测 端口扫描 版本检测 支持探测脚本的编写 ......

阅读(543)评论(0)

渗透测试

跳过云锁注入

环境 win03 + apache + php + 云锁最新版win_3.1.6 绕过 第一种方法就不多说了,网上很早就出来了,检测post后忽略get,从而被绕过。 这里主要介绍下如何绕过正则。 先贴payload: http://192.168.6.145/test.php?id=2%27/*!40000/*!30000u......

阅读(452)评论(0)

渗透测试

过安全狗waf注入技巧

 过安全狗waf注入 前提web页面存在注入漏洞 测试开始本地搭建环境 环境   安全狗(APACE版)V4.0 防护规则全开 绕过 1. 延时盲注 http://192.168.6.145/test.php?i......

阅读(451)评论(0)

个人分享

一键美化手机全局背景软件

1.使用本软件首先请打开软件悬浮窗权限! 2.打开权限后选择您要美化的图片等待配置即可! 3.建议美化成功了请把软件锁定后台,否则手机安全管家会后台关闭软件! 4.每个图片的大小是300KB左右,建议在WIFI网络下配置美化(如果流量多的话可以忽略 ...

阅读(624)评论(0)

游戏技巧

手游QQ飞车改S车教程附代码

可以跑图的哦! 新手赛车代码10009 闪电风暴代码10006 文字教程开始 到匹配界面的时候,搜索10009,搜到后立马改10006,就可以体验一局s车了 如果大家怕封号,请用小号玩,这个只是改赛车模型,没有影响游戏数据,所以不会封号 防闪退教程1:找到这个文件夹-......

阅读(926)评论(0)

辅助工具

2018-1-21荒野行动麒麟稳定多功能辅助

首先打开游戏再打开辅助 人物加速: 不建议一直开着,刷天谴圈跑毒的时候用也不要开太久,超过2分钟也会被踢回大厅 人物透视: 就不说了,稳如狗,多少个版本更新了?依旧坚挺 遁地隐身: 这个功能我只能说稳如狗 全网唯一的隐身! ......

阅读(585)评论(0)

游戏技巧

利用沙盘解决荒野行动设备被封技巧

有2种工具:沙盒-360轻量级虚拟系统 昨天在评论区议论的方法 根据你自己的电脑系统装,32位/64位 文件夹内我用文件注明了“电脑是XX位运行我“  看上图选简体中文安装,安装完后,出现很多对话框,如果你看不懂就全部点X 运行沙盒,顶部菜单栏->沙盘->DefaultBox->在沙盘中运行->运行任意程序 选......

阅读(877)评论(0)

个人分享

无损数据 无损硬盘 无需重装修复硬盘锁

如果出现下图情况就必须要进PE操作  因为硬盘的系统已经损坏了 1,进PE 2.打开diskgenius分区工具 可以看到硬盘的数据全都完蛋了 3.不用着急 右键点击硬盘选择搜索已丢失的分区(重建主引导记录) 4.选......

阅读(475)评论(0)

EMLOG

给emlog手机版添加好看的底部功能

FIY模板自带,个人觉得好看就扒下来了 效果截图: php代码放在footer底部文件</footer>前面,把PHP代码里的链接换成自己的 php代码: <div id="mobile-footer"> <ul id="mobil......

阅读(443)评论(0)