- 博客(22)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 Linux安装apache之后访问目录下的文件出现类似的错误You don't have permission to access / on this server.
百度出来的原因都是错的!!!!!大家别浪费时间了,看下文!!!! 看看apache网站www/下各个目录及文件的权限就清楚了。。。。所以解决办法就是:将所有文件全部加上读取权限啊,如下:再访问,就可以了: ...
2018-12-18 20:24:54
1458
原创 kali中签名出错:E: 仓库 “http://mirrors.ustc.edu.cn/kali kali-rolling InRelease” 没有数字签名。 N: 无法安全地用该源进行更新,所以默
root@kali:/usr# apt-get update获取:1 http://mirrors.ustc.edu.cn/kali kali-rolling InRelease [30.5 kB]错误:1 http://mirrors.ustc.edu.cn/kali kali-rolling InRelease 下列签名无效: EXPKEYSIG ED444FF07D8D0BF6 K...
2018-10-24 09:39:20
25277
30
原创 bugku:这不是md5
思考半天。。。很简单,十六进制转字符串就ok了。在线工具:https://www.sojson.com/hexadecimal.html
2018-08-02 21:30:42
2577
原创 sublime text3中安装插件失败:Package ControlThere are no packages available for installtion
1、IPV6的问题 2、无法打开网址https://packagecontrol.io/channel_v3.json导致访问不了可以解决的办法:参考(https://blog.csdn.net/feilong_csdn/article/details/67638660),可以成功解决问题。...
2018-07-14 15:13:59
2852
4
转载 SQL注入的防范措施
通过正则表达校验用户输入首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符。然后继续校验输入数据中是否包含SQL语句的保留字,如:WHERE,EXEC,DROP等。现在让我们编写正则表达式来校验用户的输入吧,正则表达式定义如下:private static readonly Regex RegSystemThreats = new Regex(@"...
2018-05-20 10:33:18
10006
1
转载 SQL注入速查表(下)与Oracle注入速查表
一、SQL注入速查表(下)0x00 目录盲注关于盲注实战中的盲注实例延时盲注WAITFOR DELAY [time](S)实例BENCHMARK()(M)实例pg_sleep(seconds)(P)掩盖痕迹-sp_password log bypass(S)注入测试一些其他的MySQL笔记MySQL中好用的函数SQL注入的高级使用强制SQL Server来得到NTLM哈希Bulk insert U...
2018-05-20 09:58:55
706
转载 SQL注入速查表(上)
本文由Yinzo翻译,转载请保留署名。原文地址:http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/#Enablecmdshell文档版本:1.40x00 关于SQL注入速查表现在仅支持MySQL、Microsoft SQL Server,以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种...
2018-05-20 09:57:29
5352
转载 Discuz 前台回帖 存储型 DOM XSS
产生原因:JS原生取ELEMENT中HTML内容的方法,会将服务端转义过的单双引号实体编码进行反转。代码分析:这里有payload: [align="onmouseover="alert(1)], 那么就从payload开始往回看漏洞是怎么产生的<textarea name='message' id='e_textarea' class='pt' rows='15' tabindex='2'...
2018-04-29 22:41:50
312
转载 解析漏洞总结
一、IIS 5.x/6.0解析漏洞IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析sp.asp;.jpg第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。例如创建目录 sp.asp,那么/sp.asp/1.jpg 将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你...
2018-04-21 17:51:24
256
原创 unubtu中Samba服务器的搭建
一、安装sambasudo apt-get install samba samba-common二、创建存放共享文件的路径选择在home路径下操作:alien@ubuntu:/home$ sudo mkdir share修改目录属性:alien@ubuntu:/home$ sudo chmod 777 share修改samba的配置文件:alien@ubuntu:/home$ sudo vi /e...
2018-04-20 21:11:14
198
原创 The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
向数据库中写入数据时出现如下错误:The MySQL server is running with the --secure-file-priv option so it cannot execute this statement解决办法:找到数据库下面的文件:my.ini(可以在大概的目录下搜索,或者用光速搜索直接就找到了。)记事本打开,找到 secure_file_priv,设置成你需要写入的...
2018-04-08 15:56:24
454
原创 dvwa中 利用反射型xss获取cookie进行会话的劫持演示
首先打开dvwa,设置安全等级为low:输入<script>alert(11)</script>证明弹窗:编写获取cookie的代码cookie.php,并将其放在一个web服务器上,这里我就放在http://127.0.0.1/dvwa/下面:构造如下URL,并发送给被攻击者:原始URL:http://location/dvwa/vulnerabilities/xss_...
2018-04-08 12:41:31
7493
1
原创 审计espcms注入漏洞
正在学习代码审计,动手审计了一下seay在2013年发现的espcms注入漏洞,记录下来: 主要问题函数为interface/search.php中的in_taglist()函数:function in_taglist() { parent::start_pagetemplate(); include_once admin_ROOT . 'public/class_pageb...
2018-04-07 23:41:05
1782
3
原创 代码审计之编码注入
在sql编码注入里,最常见的编码注入是MySQL宽字节以及urldecode/rawurldecode函数导致的。 一、宽字节注入 在使用PHP连接mysql的时候,设置了“set character_set_client=gbk”,告诉MySQL服务器客户端来源数据编码是GBK,然后服务器对SQL查询语句进行GBK转码,导致当注入参数里带入%df%27时,可将程序中过滤的\(...
2018-04-06 17:02:53
510
转载 《你尽力了吗?》
发信人: cloudsky (小四), 信区: Security标 题: 你尽力了吗发信站: 武汉白云黄鹤站 (Mon Apr 17 19:52:54 2000), 站内信件很多人问如何入门如何入门,我却不知道要问的是入什么门。很少把某些好文章耐心从头看完,我这次就深有体会。比如袁哥的sniffer原理,一直以为自己对sniffer原理很清楚的,所以也就不曾仔细看过袁哥的这篇。后来有天晚上和袁哥讨...
2018-04-05 09:30:08
2110
原创 Google Hack常用语法总结
intext:关键字搜索网页正文中含有这些关键字的网页。intitle:关键字搜索网页标题中含有这些关键字的网页。cache:关键字搜索含有关键字内容的cache。define:关键字搜索关键字的定义。filetype:文件名.后缀名搜索特定的文件。info:关键字搜索指定站点的一些基本信息。inurl:关键字搜索含有关键字的URL地址。link:关键字查找与关键字做了链接的URL地址。site:...
2018-04-04 11:14:18
3570
原创 火狐浏览器用burp suite抓包失败,Chrome浏览器成功。
火狐浏览器设置代理用burp抓包一直失败,而Chrome浏览器就可以抓取,此问题解决办法:将代理插件禁用。禁用代理插件之后成功抓包。
2018-04-02 19:06:31
4681
原创 代码审计之变量覆盖漏洞
变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、parse_str()函数、import_request_variables()函数,另外有些利用$$的方式注册变量没验证已有变量导致覆盖也是经常出现的。下面就对这四种情况做简要分析: (1)extract()函数: e...
2018-03-25 21:05:31
878
原创 代码审计之代码执行
代码执行审计和sql漏洞审计很相似,sql注入是想sql语句注入在数据库中,代码执行是将可执行代码注入到webservice 。这些容易导致代码执行的函数有以下这些:eval(), asset() , preg_replace(),call_user_func(),call_user_func_array(),array_map()其中preg_replace()需要/e参数。代码执行注入就是 在...
2018-03-20 22:48:26
589
转载 代码审计
代码审计入门前言最近在看php代码审计,学习下代码审计,看了不少师傅的博客,写的很好,下面不少是借鉴师傅们的,好记性不如烂笔头,记下,以后可以方便查看。 php代码审计需要比较强的代码能力和足够的耐心。这篇文章是写给我这样的刚刚开始审计的菜鸟,下面如果写的哪里有错误的话,还望提出,不吝赐教。在这里也立个flag:一周至少审计一种CMS(大小不分),希望自己能够坚持下去,任重而道远。 代码审计--准...
2018-03-20 22:45:47
919
2
原创 标题: 连接到服务器 ------------------------------ 无法连接到 DESKTOP-TGC5ASS\HAHA。 ----------------------------
sql server 2017安装完成之后,连接服务器失败:标题: 连接到服务器 ------------------------------ 无法连接到 DESKTOP-TGC5ASS\HAHA。 ----------------------------解决办法:打开sql server 2017配置管理器,打开sql server服务,找到相应的sql server服务器将其启动,
2018-01-20 10:00:22
21944
5
原创 Ubuntu中Unity桌面环境定制
1、精简unity桌面环境:sudo apt-get install --no-install-recommends ubuntu-desktop -y成功安装后重启系统,运行如下命令启动:startx2、Ubuntu经典老界面——GNOME 2 Classic:(并不是真正的)sudo apt-get install -y gnome-session-flashback
2017-11-12 14:41:29
4843
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人