有些一句話雖然可以單獨成功執行，但是在菜刀里卻不能用，而有些人非覺得這樣的一句話麻煩，非要用菜刀。經分析安全狗對菜刀的HTTP請求做了攔截，菜刀的POST數據里面對eval數據做了base64編碼，安全狗也就依靠對這些特征來攔截，因此要想正常使用菜刀，必須在本地做一個轉發，先把有特征的數據轉換 ...

1、魔術引號的作用是什么？ ​ 　　魔術引號設計的初衷是為了讓從數據庫或文件中讀取數據和從請求中接收參數時，對單引號、雙引號、反斜線、NULL加上一個一個反斜線進行轉義，這個的作用跟addslashes()的作用 ...

目錄 介紹 測試內容 實戰 是什么？ 　　webshell是web入侵的腳本攻擊工具。簡單說，webshell就是一個asp或php木馬后門，黑客在入侵了一個網站后，常常在 ...

很多拿站的朋友，都知道大馬很多都會被安全狗攔截，最近一個大牛給我一個方法，竟然成功，所以分享下這個方法。 將大馬寫到一個txt文件里面，命名為dama.txt，再建一個文本文檔，asp的就寫入：<!–#include file=”dama.txt”–> ,保存為X.asp ...

用了菜刀用了也有一段時間了，感覺挺神奇了，這里做一個小小的探究吧，起始也就是用鯊魚抓包看看軟件是怎么通信實現的，不敢賣弄知識，權當學習筆記了，大神路過呵呵 這貨就是主界面，環境啥的就隨意了，IIS，阿帕奇，阿金科斯都可以，我這里用apache，因為之前搞的是PHP開發，對PHP相對 ...

關於原理方面就不加贅述了，可以Google一下，我貼一下幾百年前我的理解：原理：上傳一個腳本（jsp,asp,php）,然后就得到機子的shell （哇，感覺很粗糙） 文件上傳漏洞的幾種常見的姿勢： 1.js前端驗證2.mime3.后綴名4.修改字母大小寫（同第一種，就是把PHP幾種大小寫 ...

轉載請加原文鏈接：https://www.cnblogs.com/Yang34/p/12055052.html 微信公眾號：信Yang安全。同步更新，歡迎關注。文末有二維碼。 正好最近在搞注入，昨天現裝的安全狗練練手，搭建環境如下圖： 攔截日志如下： 過產 ...