登陆 注册
  • 记朋友的博客被黑分析的过程

    AdminAdmin 2020-02-24

    一朋友,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。而我的朋友被黑了好几天才告诉我 一次血腥的经历发现网站被挂马了 腾讯也给朋友发安全警告了  我第一反应先让他关站 我登上他的服务器 因为他的服务器用的阿帕奇的 我就去找阿帕奇的 日志发现网站一直有...

    已有466人围观 ,发现 0个评论
  • 宝塔登录处存在xss

    AdminAdmin 2020-03-14

    在6.x linux版本宝塔面板当中当中,相对与5.x版本,记录了验证码错误并存入数据库当中,存储xss缺陷就是在此处产生。我们直接看漏洞代码。直接分析post请求部分。代码如下:我们可以看到这里首先判断了是否有 用户名密码,然后是验证码。判断这个IP是否是有登陆失败的记录。如果大于1 记录一下,随后将错误次数大于1的用户名的和密码都进行了记录。从数据库中读...

    已有31人围观 ,发现 0个评论
  • 一次XSS绕过D盾经历

    AdminAdmin 2020-03-11

    waf这款waf更新的很快,年前有个bypass注入的视频,提到waf对cookie检查不严,过段时间waf就更新。我写这种本地测试bypass文章时,总有感觉就是自嗨,这对实战有没有意义,我还记得搞xss绕过,是因为我在x某个webshell箱子时,D盾拦截了,我就开始研究了一波绕过。实站中xss的点很苛刻的,就很多时候本地测试bypass就像玩靶机一样,...

    已有45人围观 ,发现 0个评论
  • emlog5.3.1利用xss拿到cookie登入后台

    AdminAdmin 2020-02-28

    昨天晚上教朋友xss拿cookie登入后台 我看网上没有 怎么详细的过程 就想着来写下用到的工具 Emlog 5.3.1下载地址:http://www.emlog.net/                   phpstudy下载地址:xp.cn0x01开始开...

    已有362人围观 ,发现 26个评论
  • 如何利用xss获取cookie

    AdminAdmin 2020-02-21

    如果web应用在用户输入的地方没有过滤特殊字符,比如<, >, ', ", <script>, javascript 等字符,而且在变量输出的地方没有使用安全的编码函数,比如PHP的htmlentities()和htmlspecialchars()函数,JavaScript中的escapeJavascript函数,这...

    已有144人围观 ,发现 0个评论
  • zblog幻灯片之xss

    AdminAdmin 2020-02-20

    一个小舞台呦呦俩人唱起来 无聊着玩不知道更新什么文章突然邪恶的我 想搞点事情 没想到搞到了xss0x01xss位置在后台:首先我们登录进后台,点击主题设置0x02首先这里添加一个标题,在名称这里加上 “> 尝试闭合,可以看到闭合成功 能执行我的任意jspayload:<svg/onload=alert(1)><script>添加...

    已有154人围观 ,发现 0个评论
1
最新留言
蚁人QQ二维码
蚁人QQ二维码
不容错过
Powered By 蚁人博客