漏洞关键字 SQL 注入：select insert update mysql_query mysqli 等 文件上传：$_FILES，type=”file”，上传，move_uploaded_file() 等 XSS 跨站：print print_r echo sprintf die var_dump va...

在 PDF 文件中进行注入，如果网站没有进行必要的检查，我们就有一个存储的 XSS 漏洞。网上搜索没找到简单的XSS PDF。所以我决定实现一个 JavaScript 。此 JavaScript 将 JavaScript 代码嵌入到 ...

简单记录一下我们利用 xp_cmdshell 和 PowerShell 编码命令从 SQL 注入获取 RCE 的发现 1.Burpsuite扫描结果 这一切都始于 Burpsuite 扫描的结果，该结果在 上显示了 SQL 注入警报/download/123...

支持的令牌：HTTP、DNS、Web 图像、克隆网站、Adobe PDF、MS Word、MS Excel、MySQL 转储、Windows 目录、自定义 EXE、QR 代码、敏感命令、SVN、AWS API 密钥、快速重定向、慢速重定向、SQL服务...

今天，我们将展示如何创建一个看起来像 PDF、Word 文档或 Web 浏览器可执行文件的恶意可执行文件，具有正常文件/程序的功能，而且还有我们嵌入的恶意可执行文件。为此，我们将使用 WinRaR，可以...

在不断变化的数字环境，保护我们的在线资产的安全至关重要。 WordPress 是 Web 开发领域的主要参与者，最近面临着重大的安全挑战，其广泛使用的插件之一——WP Fastest Cache 存在严重漏洞。该...

大家好，我想分享一下我最近的渗透测试任务中的一个有趣的发现。在探索 Web 应用程序时，我偶然发现了商业应用程序的文件上传功能。 当然，我尝试上传各种文件类型，并尝试利用潜在的漏洞上传 P...

在这个项目中，我最初的方法是尝试通过发现网站的原始 IP 来绕过 WAF (Cloudflare)。当这被证明不成功时，我深入研究了 WAF 绕过技术并找到了解决方案。 由于特定的“www.XYZ.ac.in”网站容易受...

大家好，自从我上次写博客以来已经有一段时间了。我的工作一直很忙，但现在我很高兴与大家分享我在 iOS 渗透测试方面的知识。该博客涵盖了从设置笔测试环境到使用静态和动态测试识别 iOS 应用程...

在这个项目中，我演示了如何使用名为 Zphisher 的 Kali Linux 工具进行网络钓鱼，该工具仅用于教育目的。 Zphisher 是一款开源网络钓鱼工具，提供多种模板，可以进行自定义以满足攻击者的教育需...