记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

SQL注入实验学习笔记

实操靶场地址:SQL注入实验一 根据指导书我们要先在实验机进入这个网址http://10.1.1.11:81 进入之后会看到三个实例。 实例一 根据指导书的提示来做这一题。后面两个实例也要看这个指导书。 先判断是否存在注入 方法一 在参数后面加上单引号,比如: http://xxx/abc.php?id=1’ 如果页面返回错误,则存在 Sql 注入。 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。当然还有可能加了’,和没加是一样的,这也有可能是注入。因为当把错误提示关闭时,它是不会在页面显示的。
发布时间:2020-11-12 12:45 | 阅读:18818 | 评论:0 | 标签:sql 语句 SQL注入 union 单引号 参数 字段数 构造 空格 联合注入 注入 学习 SQL

小程序 | 对酒店房间自助售货机的支付漏洞挖掘

住某酒店,一看就是个“正规”酒店。刚刷卡进门,就看到门缝里的小卡片了,床头上还贴这一个,个人微信的一个二维码美其名曰SPA。还贴心的提供了自助售货机购买TT。好奇扫码看了下。是个微信小程序,看界面,感觉可以测试下。发现里面东西的销量真不错哦。 正好在等外卖,掏出测试机,开启神器BURP。开始测试。 小程序抓包的时候要注意下安卓系统版本,在安卓7.0之后默认不信任用户安装的系统证书。所以手机在安装burp证书的时候,需要将证书安装为系统信任的证书。
发布时间:2020-10-23 11:00 | 阅读:22667 | 评论:0 | 标签:Burp burp证书 discount 参数 小程序抓包 支付漏洞挖掘 渗透 逻辑漏洞 漏洞

WastedLocker勒索软件技术分析

7月23日,导航设备和智能设备制造商Garmin遭受了大规模的服务中断,随后官方确认受到了网络攻击。截至7月29日,受影响的线上服务还未完全恢复。研究人员分析后发现,攻击者使用了一个木马WastedLocker,本文对该木马进行技术分析。 命令行参数 研究人员分析发现WastedLocker使用了命令行接口,可以处理多个控制运行方式的参数。 -p <directory-path> 优先处理:木马首先会加密指定的目录,然后将其加入到排除的列表中来避免再次二次处理,然后加密设备上剩余的其他目录。
发布时间:2020-08-06 14:07 | 阅读:28837 | 评论:0 | 标签:系统安全 base64编码 directory-path RSA 密钥 UAC WastedLocker 勒索软件 参数

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云