任意文件读取常见利用路径

C:/boot.ini //查看系统版本 C:/WindowsSystem32inetsrvMetaBase.xml //IIS配置文件 C:/Windowsrepairsam //存储系统初次安装的密码 C:/Program Filesmysqlmy.ini //Mysql配置 C:/Program Filesmysqldatamysqluser.MYD //Mysql root C:/Windowsphp.ini //php配置信息 C:/Windowsmy.ini //Mysql配置信息C:Windowswin.ini //Windows系统的一个基本系统配置文件 Li...

阅读全文>>

使用K-means对网站访问者进行聚类

在分析Web日志流程中,寻找可疑请求、寻找异常访问者为分析流程中的基础流程,传统的做法是使用正则进行筛选,而这些正则则是通过我们已知的安全经验编写出来的,此时我们可以通过尝试一些新的方法~ 一、数据准备 同上篇 二、算法测试 依赖库地址:[K-Means Java实现](https://sourceforge.net/p/yuanboshekmeans/code/ref/master/) 我们下载kmeans库之后将其引用到项目中,并编写测试Demo,测试库的可用性。测试Demo如图:  可以看到我们使用了4个3维的样本数据,数据...

阅读全文>>

Struts 052 - REST插件远程代码执行[Poc]

漏洞影响 Struts 2.5 – Struts 2.5.12 版本, 漏洞概述 Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。任意攻击者都可以构造恶意的XML内容提升权限。 其实我觉得此次漏洞并非Struts的主要责任,问题出在XStream组件上 XStream介绍: XStream是一个Java对象和XML相互转换的工具。提供了所有的基础类型、数组、集合等类型直接转...

阅读全文>>

子域名、C段、同IP服务器查询工具1.0

之前搞了一个子域名查询的接口,由于数据太多服务器太渣,查询请求太多总是挂... 于是写了一个接口,做了一定限制,搞了一个简单查询的工具,直接上图: 虽然是学过java的人,但是以前很少写Swing,所以难免会有Bug。 Swing控件是单线程的,而跑域名用到了多线程,折腾实时显示是在是折腾了很久。另外你会发现可能ID不是按顺序输出的。 凑合着用... 下载链接:http://jeary.org/upload/JWebinfo.tar.gz

阅读全文>>

个人项目&工具导航

最近经常有人问我要脚本、工具啥的..其实你们仔细找找,就能找到。不过为了照顾小白,在此文章建立导航。 0.Web信息收集工具 地址:http://jeary.org/post-4.html 说明:此工具为初学c#所写,所以有些地方有bug,另外功能方面也体验不好(写这个工具的时候还是未成年呀!!) PS:此工具已放弃维护,别再问我有没有新版了.. 1.社交信息爬取工具 地址:http://jeary.org/post-5.html 说明:有一段时间喜欢从别人的公开社交信息收集...

阅读全文>>

在线子域名、C段、同IP服务器查询[2016.5.9更新]

自从用习惯shodan、zoomeye等成熟的产品,意识到了数据的价值和重要性,于是开始尝试自己折腾,搭建数据检索系统,此域名查询系统为学习项目,仅为Demo版本,开放测试版本,不断完善中。 上图: 说明: 0.数据来源于园长的1.5E域名 1.此项目目的为学习ES,所以并不成熟 2.服务器资源有限,大家轻碰(坏了赔钱- -) 3.有时间会持续添加功能,在线实时跑任务、更新数据、其他解析记录等等等 4.支持的语法有ip、domain、cip,默认无语法则模糊搜索...

阅读全文>>