执行摘要5月14日,国内爆出php远程DoS漏洞,官方编号69364。利用该漏洞构造poc发起链接,很容易导致目标主机cpu的占用率100%,涉及PHP多个版本。绿盟科技威胁响应中心随即启动应急机制,...
漏洞分享
漏洞分享
XSS跨站测试代码大全
XSS跨站测试代码大全'><script>alert(document.cookie)</script>='><script>alert...
解析漏洞小结
一、IIS 5.x/6.0解析漏洞IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析wooyun.asp;.jpg 第一种,在网站下建立文件夹的名字为 .a...
WEB安全
php上传绕过及缺陷经验解说
1) GIF89A伪造文件头上传. 缺陷:文件只验证上传Type是否为image/gif等这样的类型,GIF89A是用CA32m 等这些反汇编16进制工作在文件头获取的! ...
逆向工程
Linux编程基础——GDB(查看数据)
查看栈信息当程序被停住了,首先要确认的就是程序是在哪儿被断住的。这个一般是通过查看调用栈信息来看的。在gdb中,查看调用栈的命令是backtrace,可以简写为bt。 ...
一次ELF文件的解构之旅
ZZ 黑客志 http://heikezhi.com/2011/09/15/hackme-deconstructing-an-elf-file/一个朋友最近发给我一个他编写的据称很难破解的程...
神器mimikatz
神器咪咪卡住最近发布了它的2.0版本,抓密码命令更加简单了,估计作者也看到了对它这个神器最多的研究就是直接抓密码,为神马不发布一个直接一键版,哈哈哈哈哈。新功能还包括能够通过获取的kerberos登录...
突发奇想写的奇怪脚本(扫描设置dnspod ns却未注册的域名)
创意源自:DNSPod域名无验证所有权限(可导致域名被恶意接管使用) #!/bin/bash # # Downlaod domain list at: http://ww...
神兵利刃
究竟谁在监控我?反监控工具SnoopSnitch
2014年无数的窃听事件告诉我们,“反监控”将会是2015年的一个重要课题。今天我们将介绍一款强大的监控探测工具SnoopSnitch,它是一款移动应用,居家旅行携带非常方便。SnoopSnitch检...
神兵利刃
本地文件包含(LFI)漏洞检测工具 – Kadimus
Kadimus是一个用于检测网站本地文件包含(LFI)漏洞的安全工具。特性检测所有URL参数 /var/log/auth.log RCE /proc/self/environ RC...
