Web安全日志分析浅谈


阅读全文>>

Sqlmap update error help

发现自己的sqlmap挺老的了,于是用--update参数更新,结果遇到问题 错如如下: for Linux platform it’s required to install a standard ‘git’ package (e.g.: ‘sudo apt-get install git’) 通过搜索,发现解决方案,这里记录: Install git: apt-get install git Go to the sqlmap dir: cd /usr/share/sqlmap Initialize the reposi...

阅读全文>>

Struts 052 - REST插件远程代码执行[Poc]

漏洞影响 Struts 2.5 – Struts 2.5.12 版本, 漏洞概述 Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。任意攻击者都可以构造恶意的XML内容提升权限。 其实我觉得此次漏洞并非Struts的主要责任,问题出在XStream组件上 XStream介绍: XStream是一个Java对象和XML相互转换的工具。提供了所有的基础类型、数组、集合等类型直接转...

阅读全文>>

在线子域名、C段、同IP服务器查询[2016.5.9更新]

自从用习惯shodan、zoomeye等成熟的产品,意识到了数据的价值和重要性,于是开始尝试自己折腾,搭建数据检索系统,此域名查询系统为学习项目,仅为Demo版本,开放测试版本,不断完善中。 上图: 说明: 0.数据来源于园长的1.5E域名 1.此项目目的为学习ES,所以并不成熟 2.服务器资源有限,大家轻碰(坏了赔钱- -) 3.有时间会持续添加功能,在线实时跑任务、更新数据、其他解析记录等等等 4.支持的语法有ip、domain、cip,默认无语法则模糊搜索...

阅读全文>>

jsp内网简单探测脚本v2.0

因为有两三个人问我要有没有完善版本的,所以还是抽了点时间写出来了。因为时间问题,其中还有部分细节问题未解决,不过基础功能测试后可以正常使用。 直接上图: 之前是使用的参数模式,现在搞了一个简单的UI。 前言: 某些情况下,内网渗透时,代理出不来,工具传上去被杀,总之就是遇到各种问题。而最过纠结的时,我已经知道内网哪台机器有洞了..(经验多的大神飘过,如果能解决某些内网渗透时遇到的坑的问题,求分享解决方法..) 功能: 代理访问虽然是个简单的功能,但是我觉得够用了。完全可以用来直接扫描内网其他we...

阅读全文>>