代码 文件上传突破waf总结 前言 在这个waf横行的年代,绕waf花的时间比找漏洞还多,有时候好不容易找到个突破口,可惜被waf拦得死死的。。。 这里总结下我个人常用的文件上传绕过waf的方法,希望能起到抛砖引玉的效果,得到大佬... 04月16日 发表评论 收藏 阅读全文
代码 php webshell的几种变形 以下是获取网站web shell会用到的几种变形,可以有效绕过安全软件的拦截。 最简版 <?php eval($_POST);?> 这会直接执行参数CMD的内容,但容易被封杀 变形一 &l... 04月15日 发表评论 收藏 阅读全文
代码 记一次从源代码泄漏到后台获取webshell的过程 0x01 前言 在一次授权测试中对某网站进行测试时,marry大佬发现了一个网站的备份文件,里面有网站源代码和数据库备份等。根据网站信息和代码都可以发现该系统采用的是微擎cms,利用数据库备份中的用户... 04月14日 发表评论 收藏 阅读全文
安全隐私 记一次实战MSSQL注入绕过WAF 本次测试为授权测试。注入点在后台登陆的用户名处 存在验证码,可通过删除Cookie和验证码字段绕过验证 添加一个单引号,报错 and '1'='1 连接重置——被WAF拦截 改变大小写并将空格替换为M... 04月06日 发表评论 收藏 阅读全文