有些一句话虽然可以单独成功执行，但是在菜刀里却不能用，而有些人非觉得这样的一句话麻烦，非要用菜刀。经分析安全狗对菜刀的HTTP请求做了拦截，菜刀的POST数据里面对eval数据做了base64编码，安全狗也就依靠对这些特征来拦截，因此要想正常使用菜刀，必须在本地做一个转发，先把有特征的数据转换 ...

1、魔术引号的作用是什么？ ​ 　　魔术引号设计的初衷是为了让从数据库或文件中读取数据和从请求中接收参数时，对单引号、双引号、反斜线、NULL加上一个一个反斜线进行转义，这个的作用跟addslashes()的作用 ...

目录 介绍 测试内容 实战 是什么？ 　　webshell是web入侵的脚本攻击工具。简单说，webshell就是一个asp或php木马后门，黑客在入侵了一个网站后，常常在 ...

很多拿站的朋友，都知道大马很多都会被安全狗拦截，最近一个大牛给我一个方法，竟然成功，所以分享下这个方法。 将大马写到一个txt文件里面，命名为dama.txt，再建一个文本文档，asp的就写入：<!–#include file=”dama.txt”–> ,保存为X.asp ...

用了菜刀用了也有一段时间了，感觉挺神奇了，这里做一个小小的探究吧，起始也就是用鲨鱼抓包看看软件是怎么通信实现的，不敢卖弄知识，权当学习笔记了，大神路过呵呵 这货就是主界面，环境啥的就随意了，IIS，阿帕奇，阿金科斯都可以，我这里用apache，因为之前搞的是PHP开发，对PHP相对 ...

关于原理方面就不加赘述了，可以Google一下，我贴一下几百年前我的理解：原理：上传一个脚本（jsp,asp,php）,然后就得到机子的shell （哇，感觉很粗糙） 文件上传漏洞的几种常见的姿势： 1.js前端验证2.mime3.后缀名4.修改字母大小写（同第一种，就是把PHP几种大小写 ...

转载请加原文链接：https://www.cnblogs.com/Yang34/p/12055052.html 微信公众号：信Yang安全。同步更新，欢迎关注。文末有二维码。 正好最近在搞注入，昨天现装的安全狗练练手，搭建环境如下图： 拦截日志如下： 过产 ...