记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

[Security]一次学校图书馆的渗透检测

0x00 前因后果 Sirius的梦想之一就是有一个私人的图书馆,所以呢学校图书馆自然是Sirius我经常跑去的地方。经常跑图书馆自然需要找书借回来看,在查书的时候,看到学校使用了一套图书馆管理系统,职业病又来了,于是就有了这次的检测。非法入侵是严重影响网络秩序的行为,仅测试,请勿以身试法! 0x01 开始检测 Sirius本来打算去借书的,所以先在宿舍把想要借的书的位置查好在哪里先。打开图书馆的系统,看到Logo是Tomcat,看来是JSP的,JSP后台很容易用万能密码登陆的,不过现在先来试试能不能注入。 随手加了个union联合查询进去,发现居然注入成功了!一点过滤都没有做! 马上拖出脱裤神器sqlmap,先检测看看服务器是什么环境先。结果可以看到是JSP+Oracle的,典型的JAVA平台,服务器应
发布时间:2015-04-22 23:20 | 阅读:104872 | 评论:0 | 标签:Hacker hack library Security web 检测 渗透

Web渗透测试框架-Zed Attack Proxy v 2.0.0(OWASP出品)

OWASP出品的Zed Attack Proxy (ZAP)是一款集成各种工具的渗透测试框架,可以发现在WEB应用程序中的漏洞。官方网站:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project增加了很多新功能,更新:http://owasp.blogspot.com/2013/01/owasp-zed-attack-proxy-v-200.html下载地址 http://code.google.com/p/zaproxy/downloads/listZAP_2.0.0_Mac_OS_X.zip ZAP 2.0.0 Mac OS X Package   126 MBZAP_2.0.0_Windows.
发布时间:2013-02-06 12:15 | 阅读:198672 | 评论:0 | 标签:工具 hack OWASP proxy tool Zed Attack Proxy

some online hack game and simulation tests platform

名称: WebGoat项目地址: http://www.owasp.org/index.php/OWASP_WebGoat_Project简介:OWASP项目,WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用名称: Metasploitable项目地址: http://updates.metasploit.com/data/Metasploitable.zip.torrent简介: Metasploit team released a vulnerable VMware virtual machine名称: Ultimate LAMPhttp://ronaldbradford.com/tmp/UltimateLAMP-0.2.zip简介:测试web漏洞的虚拟机。名称: Vi
发布时间:2013-01-10 01:40 | 阅读:110489 | 评论:2 | 标签:hack OWASP web

Tomcat 6 Missing Host Header Internal IP Address Disclosure

信息泄漏漏洞会向攻击者泄漏有关系统或 Web 应用程序的敏感信息。尝试在未经授权的情况下进行访问时,攻击者可以使用这些信息了解有关系统的更多信息。 这是之前在微软的IIS 4.0、5.0、5.1中存在的安全问题,IIS6就已经解决了,我在tomcat中还是首次遇到,已经给tomcat官方的安全负责人员security@apache.org 发了邮件询问,但没得到合适的回复。漏洞问题:Tomcat 6 缺少主机头的内部IP地址的泄露漏洞测试版本:Apache Tomcat Version 6.0.35, Nov 28 2011漏洞发现人:Akast [NEURON] 下面的 HTTP 请求服务器上存在名为“corp”的目录,检查 HTTP 响应的“Location”标头中发现包含了内部 IP 地址:
发布时间:2013-01-10 01:40 | 阅读:178870 | 评论:0 | 标签:hack security tomcat vulnerability web

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云