周边

描述 当MySQL JDBC url可控时，除了能利用MySQL协议读取MySQL Client的本地文件之外，还可以利用客户端在连接服务器时会反序列化服务器返回的二进制数据，从而触发反序列化漏洞。 详情 1. 安装rewrite...

免费看电视/电影的APP、无广告 一款安卓免费看电视电影APP，低调分享。 追剧刷老电影应该是目前很多人经常做的事，但目前的电影网站片源分散，并且很多十几年前的老片竟然也成了VIP才能观看，处处设门槛的...

回调函数绕过D盾查杀 常见的PHPshell回调函数如下： call_user_func_array() call_user_func() array_udiff() array_filter() array_walk() array_map() array_reduce() array_walk_recursive() registre...

XML (XXE) 注入Payload List 在本节中，我们将解释什么是XML注入，描述一些常见的示例，解释如何发现和利用各种XXE注入，并总结如何防止XXE注入攻击。 什么是XML注入？ XML注入（也称为XXE）是一个Web...

SQL注入Payload List 本文中解释什么是SQL注入，罗列一些常见SQL注入语句示例，常见SQL注入扫描工具等。 什么是SQL注入（SQLi）？ SQL注入是一个网络安全漏洞，它使攻击者能够干扰应用程序对其数据库的...

AntSword User-Agent 很多人用蚁剑其实都是默认配置就用了，所以默认就带有User-Agent: antSword/v2.0，日志溯源一目了然，WAF更好识别。不过蚁剑在添加shell的时候也提供了自定义的header头功能，但是用起来...

GHDB - Google Hacking Database (Google Dorks) Google会存储大量信息并不断检索网站。Google hacking，也称 Google dorking，是一种网络搜索黑客技术，它使用Google搜索和其他搜索引擎来查找公开信息...

远程/本地文件包含漏洞示例 与许多漏洞利用一样，远程和本地文件包含只是编程问题。本文提供文件包含漏洞攻击的PHP示例，希望能帮助您避免这些漏洞。 RFI / LFI漏洞形成片段 <a href=index.php?...

上次体验盒子给大家推荐了《5款常用《网络抓包工具》》，其中Wireshark是我常用的，它是全能型网络抓包工具。今天在解密SSL数据时发现最新版竟然没有了ssl设置项（编辑->首选项->protocols->SSL）？ Wireshar...

LOAD DATA INFILE的工作原理 了解一下LOAD DATA INFILE的工作原理。使用wireshark抓包： 客户端(即攻击者)连接mysql服务器3306端口服务器发送问候包，包括协议线程ID，版本，mysql认证类型等。客户端的下...