DYBOY's Blog

网络安全

维护网络安全,从我做起,专注网络安全,网络攻防,犯我中华者,虽远必诛 ...

网络安全
[代码审计]Emlog 6.0 Beta

Emlog6.0beta版本,这可能是最后一篇关于PHP语言CMS的代码审计文章,此次将详细记录完整的审计过程。*2018-11-02之前这篇文章发到Freebuf上面的由于某些原因删除了,却被某些爬虫网站给抓取了,现在公开,希望大家做一个合理的学习,切勿用于非法用途!官网也更新了6.0正式版,现在作为最后公布也不存在不妥之处,再次声明:仅供学习参考,任何由个人行为产生的违法犯罪...

网络安全
[红日安全]代码审计Day15 - $_SERVER['PHP_SELF']导致的防御失效问题

本文由红日安全成员:DYBOY编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHPSECURITYCALENDAR2017。对于每一道题目,我们均给出对应的分析,...

网络安全
JSONP理解

Jsonp理解为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了functionhandleResponse(response){alert(...

网络安全
[思路笔记]WEB安全之漏洞挖掘

记录自己在实际渗透测试以及漏洞挖掘中会用到的思路和方法。不断完善,尽量以系统的方式展现程序化式的漏洞挖掘。由于各种原因,不便公开。通用策略1.信息搜集:数据挖掘、业务挖掘数据:邮箱、手机号、真实姓名、邮箱、历史漏洞、网站程序CMS、子域名历史漏洞Bypass,绕过业务:新业务(公众号发布新产品)、新闻、公众号、朋友圈(内部员工、资料和消息)、QQ群(公司名等x...

网络安全
[PHP防火墙]输入内容存在危险字符,安全起见,已被本站拦截

之前在很多的网站都看到了360webscan的攻击拦截脚本,正好分析并学习一下。下载地址:http://webscan.360.cn/protect/down?domain=blog.dyboy.cn最后一个domain参数改为自己的线上网站域名为了本地测试:我下载http://webscan.360.cn/protect/down?domain=www.test.com0...

网络安全
一张验证码引发对DOS的思考

DDOS攻击在互联网上是比较常见的一种攻击方式。他的目的就是为了让攻击目标网站或者在线服务失去相应,或者因为大量流量和IP一时间如洪水般涌入服务器,导致服务器拒绝服务,甚至宕机。在《白帽子讲WEB安全》笔记一文中,我有写到各类常见DDOS攻击,以及简单的防御方式。本次实验主要是在某次挖洞的过程,以及正好看到黑家小无常刚发布的文章给我的启示,然后顺便做了一下验证。0x01线...

网络安全
[MS16-067]提权小记

拿到了一个08Server的网站,同时3389端口打开着,可以直接连接尝试了Meterpreter反弹shell,getsystem但是失败了然后团队成员Si告知下尝试了MS16-075的利用,记录一下在shell中上传potato.exeGithub:https://github.com/SecWiki/windows-kernel-exploit...

网络安全
NC Listener

NC.exe俗称黑客的瑞士军刀Usage:NetCatforWindowsv1.14.89https://github.com/diegocr/netcatconnecttosomewhere:nc[-options]hostnameport[s][ports]...listenforinbound:nc-l-pport[op...

网络安全
XML External Entity attack

XXE漏洞XML被设计用来传输和存储数据。语法规则<?xmlversion="1.0"encoding="UTF-8"?><!--XML声明--><girlage="18">  <!--自定的根元素girl;age属性需要加引导--><hair>长头发</hair>  <!--自定义的4个...

网络安全
[代码审计]CmsEasy V6.2

随便找了一个,结果找到一个大家伙,源码有30多M,开了个大坑~从安装界面看就感觉很高端~舒服!!!官网:https://www.cmseasy.cn/产品:CmsEasyV6.2_20180611而且安装完成后提示修改管理目录名称,不错啊~以后用来写板子还不错CMS简介:CmsEasy企业网站系统完美支持PHP7.0,前台生成html完全符合SEO优化,适合企业公司...

TOP
Powered by Emlog | Theme:Monkey by DYBOY
渝ICP备16008772号
sitemap