记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

介绍sqlmap中的SQL注入filter逃逸

每当我发现一个SQL注入漏洞时,我都会在注入点使用sqlmap。这是一个操作简单易于使用的工具,不仅能证实漏洞,而且还可以提取相关数据、获得执行命令,以及执行进一步的实验操作。如果碰到filter或是网络应用防火墙,我会习惯性地打破Burp Suite并且开始手动规避筛选,但是接下来介绍的这种方法更为简便。 规避用户内置filter而试图利用SQL注入的做法往往是试着用不同的字符设置相同载荷。以下面的有效载荷为例: 根据被筛选的荷载多少,我可以使用多种方法重写这部分荷载。例如下面这个更大的荷载,我会使用一个已编码的字符来取代它。 另外,我还可以简单地重新设置荷载格式,这样也可以达到同样的效果: 这些简单的重新设置都可以利用一种工具完成自动操作,那就是我们熟知并且乐于使用的sqlmap。如果你不熟悉这个工
发布时间:2016-05-05 22:55 | 阅读:81100 | 评论:0 | 标签:小技巧 工具分享 注入

黑客入门之十个常用破解网络密码的方法

1、暴力穷举 密码破解技术中最基本的就是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。 2、击键记录 如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。 3、屏幕记录 为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户
发布时间:2016-02-18 18:00 | 阅读:77589 | 评论:0 | 标签:小技巧 黑客

ARP欺骗技术-获取内网目标IP访问QQ空间的图片

首先声明:请不要接触法律。 要求: 虚拟机 Kali linux系统 命令“ 查ip命令:ifconfig echo写命令是不回显 driftnet 获取本机网卡》网卡》查看网卡的图片信息 例如攻击目标ip:192.168.1.100        网关:192.168.1.1 欺骗语句“ Arpspoof -i 网卡 -t 目标ip        网关 例如:arpsp00f -i eth0        192.168.1.100        192.168.1.1 以下两句请理解: Arp 欺骗 目标ip        流量经过我的网卡,从网卡关出去 Arp断网 目标ip流量经过我的网卡 第一步“开启ip转发” 命令:echo 1 > /proc/sys/net/ipv4/ip_forwa
发布时间:2016-01-03 10:50 | 阅读:929842 | 评论:0 | 标签:黑客 渗透测试 工具分享 小技巧

PHP代码规范的10个好习惯

PHP被称为 dirty but quick 的编程语言。尽管在其它编程语言使用者看来,PHP 程序并不简洁美观,但是我们可以通过一些优秀的编程习惯,也能让PHP的代码看起来比较舒服优雅。有哪些方法呢?下面逐一说下。 1. 规划代码结构 优秀的PHP代码应该有清晰的结构。PHP面向对象的特性允许程序员将应用程序分解为函数或方法。如果代码晦涩难懂,你也可以添加注释,使代码的功能一目了然。编码时应尽量将前端代码(HTML/CSS/JavaScript)与应用程序的服务端规则分开,或者你可以使用遵循MVC模式的PHP框架来构建你的应用程序。 2. 编码风格统一 优秀的PHP代码应该具备统一的风格。比如,为变量和函数制定统一的命名规则,为循环任务(比如数据库存取、错误处理)制定统一的接入标准,或者保持有规律的代码缩进,
发布时间:2015-12-10 00:35 | 阅读:82716 | 评论:0 | 标签:PHP 小技巧

15个必须知道的chrome开发者技巧

在Web开发者中,Google Chrome是使用最广泛的浏览器。六周一次的发布周期和一套强大的不断扩大开发功能,使其成为了web开发者必备的工具。你可能已经熟悉了它的部分功能,如使用console和debugger在线编辑CSS。在这篇文章中,我们将分享15个有助于改进你的开发流程的技巧。 一、快速切换文件 如果你使用过sublime text,那么你可能不习惯没有Go to anything这个功能的覆盖。你会很高兴听到chrome开发者功能也有这个功能,当DevTools被打开的时候,按Ctrl+P(cmd+p on mac),就能快速搜寻和打开你项目的文件。 二、在源代码中搜索 如果你希望在源代码中搜索要怎么办呢?在页面已经加载的文件中搜寻一个特定的字符串,快捷键是Ctrl + Shift + F (
发布时间:2015-12-04 08:50 | 阅读:82868 | 评论:0 | 标签:小技巧 工具分享

如何用不到10元人民币 DIY 一个 YubiKey

DigiSpark 开发板 需要用到的额外材料就是图中的 DigiSpark ,在淘宝上大约在10元人民币左右。 DigiSpark 其实是一个小型的类似 Arduino 的开发版,我们可以写代码刷到板子中的芯片里,芯片可以按照代码执行一些简单的任务。最近看到很多人都在海淘 YubiKey 这种小巧的密码保存器,因为正好 DigiSpark 本身有模拟 HID 的功能,何不自己做一个。 板子插到 USB 之后的效果 注意我的手指没有挨着板子,这个时候进入 LastPass 或者 PasswordSafe 等软件的主密码输入界面,然后手轻轻碰一下板子的背部,效果如下图。 输入密码 板子上的第二个 LED 灯亮起,这个时候会模拟键盘把预先烧到芯片中的密码输入到电脑里。 代码其实很简单,如下。 1<s
发布时间:2015-11-18 15:45 | 阅读:209833 | 评论:0 | 标签:小技巧 编程

如何才算掌握Java

Java本身是一种设计的非常简单,非常精巧的语言,所以Java背后的原理也很简单,归结起来就是两点: 1、JVM的内存管理 理解了这一点,所有和对象相关的问题统统都能解决 。 2、JVM Class Loader 理解了这一点,所有和Java相关的配置问题,包括各种App Server的配置,应用的发布问题统统都能解决 。 时常看到一些人说掌握了Java,但是让他们用Java做一个实际的项目可能又困难重重,在这里,笔者根据自己的一点理解斗胆提出自己的一些对掌握Java这个说法的标准,当然对于新手,也可以提供一个需要学习哪些内容的参考。另外这个标准仅限于J2SE部分。 1、语法: 必须比较熟悉,在写代码的时候IDE的编辑器对某一行报错应该能够根据报错信息知道是什么样的语法错误并且知道任何修正。 2、命令: 必须
发布时间:2015-11-16 03:25 | 阅读:126131 | 评论:0 | 标签:Java 小技巧

每日Ubuntu小技巧 —— 让Windows访问你文件的最简单的方法

不管你是一个新手还是精通Ubuntu和Windows的大牛,让Windows访问Ubuntu文件的最好的方式都是使用Samba。通过许多第三方工具可以很轻松的安装和管理。 对于想要了解怎么从Windows快速访问Ubuntu文件的新用户或者新手来说,这篇短文将会告诉你该怎么做。我们的目标是要帮助新用户。我们尽量将这篇教程写得通俗易懂,以便让新手看懂而不会遇到太大的困难。 在这里我们不会太注重了解Samba是什么或者怎么将它配置加入域这类细节。我们要做的就是告诉你怎么在Ubuntu中安装和设置Samba,让Windows可以访问Ubuntu的文件。 如果你想要更多的了解Samba,我建议你Google一下,或者查询下Wikipedia。首先在Ubuntu下打开你的终端,然后运行如下命令安装Samba和其他相关的工
发布时间:2015-11-10 16:25 | 阅读:88473 | 评论:0 | 标签:小技巧 编程

黑客入门与进阶建议

建议一:黑客七个等级 黑客,对很多人来说充满诱惑力。很多人可以发现这门领域如同任何一门领域,越深入越敬畏,知识如海洋,黑客也存在一些等级,参考知道创宇 CEO ic(世界顶级黑客团队 0x557 成员)的分享如下: Level 1 愣头青[百万人]:会使用安全工具,只能简单扫描、破译密码 Level 2 系统管理员[上万人]:善用安全工具,特别熟悉系统及网络 Level 3 大公司的开发人员或核心安全公司大牛[几千人]:对操作系统特别熟悉,开始开发代码,写自己的扫描器 Level 4 能找到并利用漏洞[几百人]:自己能找漏洞、自己找 0DAY 并且写 Exp 利用漏洞的,对系统做挖掘漏洞的协议测试 Level 5 高水平[少于百人]:防御和构建系统的人 Level 6 精英级[几十人到十几人]:对操作系统的理
发布时间:2015-11-03 02:30 | 阅读:87346 | 评论:0 | 标签:小技巧 黑客 黑客入门 黑客进阶

通过.PAC(自动配置代理)文件进行网络钓鱼

0x00 常见网络钓鱼方式 攻击者进行网络钓鱼的方式常有以下几种: 1. 通过修改受害者hosts文件(C:WINDOWSsystem32driversetchosts)来实现; 2. 通过修改受害者dns来实现; 3. 已经进入路由器,直接修改路由器的DNS。 罗列的并不全,之后遇到的话再补充,上述三种方式很常见。 修改HOSTS文件,即攻击者修改受害者HOSTS文件为如下形式: 127.0.0.1 localhost x.x.x.x www.wooyun.com 这样就受害者访问www.wooyun.com会直接访问到x.x.x.x。在msf中可以使用inject_host脚本来实现。 修改dns进行攻击: 攻击者可是使用如下命令修改受害者的dns地址(管理员身份执行): C:Windowssystem32
发布时间:2015-09-25 23:05 | 阅读:153637 | 评论:0 | 标签:小技巧 黑客

php上传功能集后缀名判断和随机命名

form.php 12345678910111213<html> <head> <meta http-equiv="content-type" content="text/html" charset="utf-8"> <title>Upload Image</title> </head> <body> <form method="post" action="upload.php" enctype="multipart/form-data"> <input type="hidden&q
发布时间:2015-09-10 00:25 | 阅读:83853 | 评论:0 | 标签:PHP 小技巧

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云