2019年12月的文章

2019-12-11Gu阅读(4154)评论(0)赞(0)

在渗透测试的过程中，我们可以利用MSF攻击载荷生成器（msfvenom）创建一个可以独立运行的Metasploit载荷程序，可以生成 exe、apk、php、jsp、asp、py、sh、pl等后缀类型的文件，只要这些木马文件在目标机上执行，...

2019-12-10Gu阅读(1953)评论(0)赞(1)

安装java环境，一般会自动配置环境。 写这篇文章呢，主要是为自己做个笔记。在九月份的时候，我重装了电脑系统，由于自己的年少无知……把Java环境搞坏了，.jar文件都打不开了，最后尝试了很多种方法，也不能很好地做到双击运行jar文件。后来...

2019-12-10Gu阅读(2647)评论(0)赞(0)

简介 官网中对requests的介绍是”HTTP for Humans“。 requests是python实现的简单易用的HTTP库，使用起来比urllib简洁很多。我们在做安全研究中，经常会使用requests去发...

2019-12-09Gu阅读(1879)评论(0)赞(0)

漏洞原理 在测试任意文件上传漏洞的时候，目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持，我们可以上传一个shtml文件，并利用<!--#exec cmd="id" -->语法执行任意命令。 漏洞...

2019-12-08Gu阅读(1885)评论(0)赞(0)

漏洞介绍 见文章：XXE漏洞 环境搭建 Vulhub一键搭建 漏洞复现 libxml2.9.0以后，默认不解析外部实体，导致XXE漏洞逐渐消亡。 本环境的libxml版本为2.8版本。 访问靶机： 可以看到libxml的版本为2.8版本，默...

2019-12-08Gu阅读(3117)评论(0)赞(0)

漏洞介绍 Heartbleed漏洞，这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息...

2019-12-08Gu阅读(2137)评论(0)赞(0)

漏洞介绍 ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="...

2019-12-08Gu阅读(2919)评论(0)赞(0)

IIS简介 IIS是Internet Information Services的缩写，意为互联网信息服务，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内置在Win...

2019-12-08Gu阅读(2559)评论(0)赞(1)

前言 我感觉Pycharm对初学者并不是很友好，于是拜托Gu-f大佬，写了篇使用介绍，供我学习。 使用介绍 安装完Pycharm之后双击打开 此处没有激活的同学可能需要激活一下，或者试用 （具体激活的教程大家可以网上找哦~） 这里就以试用版...

2019-12-07Gu阅读(2489)评论(0)赞(0)

##介绍 应用程序有时需要调用一些执行系统命令的函数，如在PHP中，使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数的参数时，就可以将恶意的系统...