今天是领导发了一个聊天软件的截图，一个工作人员发起了群聊，开启了全员禁言。群名为“京东购物补贴”，感觉应该是把自己权限能拉群的人都拉了进去。 实际上是他的电脑中毒，被远控，拉群发送钓鱼图片，要求大家扫码 钓鱼图片如下【各位想要复现，必须保证环境安全，别搞得自己被钓了】 二维码的url是：https://adobegpt.com/#/teach 钓鱼页面如下 Ctrl +...

; 顺序执行命令，无论前一个命令是否成功。 & 将命令放入后台执行，不阻塞当前 Shell。 && 前一条命令成功（退出码 0）才执行后续命令。 || 前一条命令失败（退出码非 0）才执行后续命令。 | 将前一个命令的输出作为后一个命令的输入。 Lab 1 OS command injection, simple case storeId=1;...

Lab 1 File path traversal, simple case ../../../../../../etc/passwd Lab 2 File path traversal, traversal sequences blocked with absolute path bypass /etc/passwd Lab 3 File path traversal, tra...

让我们欢迎渗透测试三巨头之一！SRC一方霸主！未授权！ 未授权属于认证 认证大多是逻辑漏洞，开发不把认证做好，就会产生许多越权攻击。 Lab 1 Username enumeration via different responses 直接插入临时字典爆破就行，每次靶场预设的用户名都不一样 优先检查用户名，用户名不对就显示Invalid username 用户名对了，密码错了，就...

此SQL注入速查表包含一些有用语法的示例，您可以使用这些示例执行SQL注入攻击时经常出现的各种任务。 字符串连接 您可以将多个字符串连接在一起以形成单个字符串。 Oracle 'foo'||'bar' Microsoft 'foo'+'bar' ...

本篇是BurpSuite靶场的第一篇，这里共有18个实验，涉及多种数据库和注入手法。这个做完了，可以去玩一玩SQLi-Labs，量大管饱，但是只有MySQL数据库，并且最后更新已经是11年前了。 在学习SQL注入之前，必须学会SQL语句（菜鸟教程），这里是几个在线的SQL练习网站： 牛客网-SQL篇、自学SQL网、LeetCode-数据库 Lab 1 SQL injection vu...

Hack Your Heart 写这个主题是因为我在Hugo的主题仓库里没有找到喜欢的主题。 因为我是一个黑客脚本小子，我想要更有黑客风格的博客，但是没找到。于是想要自己写一个博客主题。 由于我不会前端，写这个主题十分困难，许多HTML、CSS、JS、F12花哨调试 工具都是我现学的。这个主题也是我边学边写。 特色 没什么特色，都是一些基础功能，你能在其他主题看到相同功能。 许多...

转载自 zu1k 的 SQL注入针对关键字过滤的绕过技巧 在SQL注入中经常会遇到服务端针对注入关键字进行过滤，经过查询各种文章，总结了一部分绕过的方法。 2020.08.08更新：增加利用MySQL8.0语法新特性绕过方法，增加SQL注入过滤和检测的几种思路和绕过方法 过滤空格 使用注释符/**/绕过 SELECT/**/name/**/FROM/**/table 使...

题目附件：https://wwaw.lanzoub.com/iXguU27kjmlc 很少见到音频杂项，记录一下 所用工具： MP3Stego（用于提取mp3音频文件的关键信息）：https://github.com/fabienpe/MP3Stego silenteye（用于LSB音频隐写）：https://github.com/TajangSec/silenteye 打开附件，...

上一次BurpSuite的分享还是在2020年 由于CSDN有防盗链，我自己的博客都无法访问这篇博文的图片了 至于为什么再写一次，是因为我看到群里这张图： 哈哈哈，笑死了 所以我想看看现在BP更新到什么版本了，顺便给各位分享一下 本文用到的所有工具在文末链接里 下载 今日是2024/1/21，BP官网更新到了2023.12.1.2版本，官网所有Professional版...