Gophish 钓鱼测试

0x00 存在 SQL 注入总之是遇到一个站，登录的页面，数据包大致如下： POST /jsweb/userlogin/UserLoginAction.aspx HTTP/1.1 Host: 115.xxx.xxx.xxx:8042 Content-Length: 47 Accept: */* X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://115.xxx.xxx.xxx:8042 Referer:

目录遍历利用

Posted on 2019-12-16 in Pentest • 859 words

Tags: pentest

0x00 目录遍历一个同事说有一些目录遍历，想着能不能搞个脚本啥的，以后利用也方便，自己没有写出来，说让我看看一般来说存在目录遍

PostgreSQL 简单使用

Posted on 2019-08-23 in Database • 1340 words

Tags: postgre

0x00 安装 ➜ brew install postgresql ➜ echo 'export PATH="/usr/local/Cellar/postgresql/11.4/bin:$PATH"' >> ~/.zshrc ➜ source ~/.zshrc -- 初始化数据库 ➜ initdb /usr/local/var/postgres ➜ pg_ctl -D /usr/local/var/postgres -l /usr/local/var/log/postgres.log start 0x01 简单操作常用操作命令 reber=# \password #设置当前登录用户的密码 reber=# \password

记一次网页 js 挂马

Posted on 2019-08-19 in Pentest • 669 words

Tags: js

0x00 常见网页挂马方式 iframe 框架挂马简单来说就是加 iframe 标签 script 挂马通过各种办法加载 js 代码 htm 文件挂马上传 htm 文件，然后用 script 引入 js 挂马上传

FRP 内网穿透

Posted on 2019-07-30 in Pentest • 1376 words

Tags: intranet

0x00 对外提供简单的文件访问服务服务端 ➜ frp cat frps.ini [common] ; 监听端口 bind_port = 7000 ; 那些端口允许客户端用来映射 allow_ports = 22-80,3000,33389 ➜ frp ./frps -c frps.ini 2019/07/31 00:22:31 [I] [service.go:139] frps tcp listen on

通过 selenium 和 flask 中转后利用 sqlmap 进行注入

Posted on 2019-07-27 in Pentest • 852 words

Tags: injection

0x00 先说前提昨天某个小伙伴说有个注入没法搞前端提交登陆表单时数据包加密了, 而且有个 sign 字符串每次都不一样用于校验, 应该是用 js

1 of 18 Next Page

Reber's Blog

只会一点点编程、只会一点点渗透

Gophish 钓鱼测试

PHP 反序列化与字符串逃逸

PHP 反序列化

通过 Sphinx 快速查询数据

记一次 SQL 注入简单 bypass

目录遍历利用

PostgreSQL 简单使用

记一次网页 js 挂马

FRP 内网穿透

通过 selenium 和 flask 中转后利用 sqlmap 进行注入