密码保护:Bypass ngx_lua_waf

pass 0x00 前言  ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: select.+(from|...

Metasploit生成免杀payload

无意中看到go 的远程dll 过杀软的, 然后就发现luan大佬的博客有一篇文章 python 的调用shellcode 的方式测试了一下 原文地址:http://lu4n.com/metasploit-payload-bypass-av-note/ └...

Cobalt Strike使用

下载: CS1.14 中文破解版本 cobaltstrike+3.14+汉化版 安装 Cobalt Strike 分为客户端和服务端,可分布式操作、协同作战。但一定要架设在外网上,或者自己想要搭建的环境中...

frp 的常规使用

拓扑如下: 阿里云服务器一台 内网 机器一台 https://github.com/fatedier/frp/releases 下载 frp 的服务端: [root@btmail frp_0.27.1_linux_amd64]# cat...

SQL注入 bypass 安全狗 V4正式

GET 类型 # -*- coding:utf-8 -*- import requests headers = { 'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3)AppleWebKit / 535.20(KHTML, like Gecko) Chro...

struts2 靶机docker

本来想着来弄几个st2 的老漏洞来测试一下 找了一圈。还是选择了docker 进入dockerhub  找了一下。发现有一个全版本的老的st2  This image contains demo applications for...

绕过php 函数被禁用的限制执行命令

我只是一个github 的搬运工 https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD 下载。之后。搭建一个测试环境

Redis-RCE

远程代码执行redis4和redis5 来自https://github.com/jas502n/Redis-RCE python代码 [root@btmail script]# git clone https://github.com/jas502n/Redis-RCE.git ...

搭建oracle 注入环境

碰到了一个很复杂的SQL 注入的oracle 注入坑。 那么就弄一个本地测试环境吧 环境:Centos 7.4   64 那么首先弄一个oracle 环境 想了一下还是用Docker 了 dock...

CVE-2019-2725 绕过 复现

CVE-2019-2725 绕过 复现 系统版本 Centos7.5 JDK 版本:jdk1.6.0_45     :直接去官网下载 weblogic 版本:10.3.6      : 直接去官网下载 ...