Jimi
  • 首页
  • 归档
  • 分类
  • 标签
  • 关于

api接口导致各种漏洞(sql盲注、报错注入等)

师傅笔记: 1%’ and extractvalue(1, concat(0x7e,(select version()))) and ‘%’=’ 1%’ AND GTID_SUBSET(CONCAT(0x7e,(select database()),0x7e),1) AND ‘%’=’ 个人笔记: 网站的资产归属 查看开放的端口和服务 尝试访问端口,看能否成功跳转。
2024-06-01
漏洞挖掘
#SQL Injection #api Vulnerability

Druid monitor页面渗透

Druid monitor是一个非常好用的数据库连接池 有URL Session Spring监控 常见用户:admin ruoyi druid 常见密码:123456 12345 ruoyi admin druid admin123 admin888 常见路径(可构造未授权拼接尝试):(可以用burp进行路径拼接直接爆破) /druid/index.html /dr
2024-06-01
漏洞挖掘
#Druid框架 #路径拼接

Nacost通过文件打出getshell

Nacos 是阿里巴巴开源的一个动态服务发现、配置管理和服务管理平台。它专为微服务架构设计,提供了服务发现与注册、配置管理、动态 DNS 服务、服务健康检查、断路器等功能。Nacos 的核心组件包括服务注册中心、配置中心和控制台。 师傅笔记: JWT身份伪造:https://jwt.io/ 使用nacos默认key可进行jwt构造 nacos默认key(token.secret.key值的位置在c
2024-06-01
漏洞挖掘
#Nacost #getshell #JWT

fuzz到sql注入

模糊测试(Fuzzing), 简而言之, 就是为了触发新的或不可预见的代码执行路径或bug而在程序中插入异常的, 非预期的, 甚至是随机的输入. 师傅笔记: 判断注入 15’ and if(15,sleep(5),3)–+ 15” and if(15,sleep(5),3)–+ 15 and if(15,sleep(5),3)–+ 语句大家可自行结合 sqlmap语句为: -p id –bat
2024-06-01
漏洞挖掘
#SQL Injection #fuzz

springboot

网页中显示以下 会捡大漏 对网页进行路径测试,获取所需信息 HeapDump 是指将 Java 虚拟机 (JVM) 内存的当前状态转储到一个文件中。常见的heapdump泄露,大多都是springheapdump泄露 在 Spring Boot 应用中通过 Actuator 生成 HeapDump Springboot-scan.py 该工具是基于jhat,通过jhat解析hea
2024-06-01
漏洞挖掘
#springboot

Webpack利用

Webpack 是一个静态模块打包工具,从入口构建依赖图,打包有关的模块,最后用于展示你的内容 它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源。 webpack是一个打包工具,他的宗旨是一切静态资源皆可打包。有人就会问为什么要webpack? webpack是现代前端技术的基石,常规的开发方式,比如jquery,html,css静态网页开发已经落后了。 现在是M
2024-06-01
漏洞挖掘
#Webpack

CVE-2024-4820

description:File upload vulnerability exists in Online Computer and Laptop Store download:https://www.sourcecodester.com/php/16397/online-computer-and-laptop-store-using-php-and-mysql-source-code-free
2024-05-14
Report
#CVE提交 #File upload vulnerability

CWE checker

cwe_checker 是一套用于检测常见错误类别(例如空指针取消引用和缓冲区溢出)的检查工具。这些错误类别正式称为常见弱点枚举(CWE)。这些检查基于各种分析技术,从简单的启发式方法到基于抽象解释的数据流分析。其主要目标是帮助分析师快速找到潜在的易受攻击的代码路径。 检测列表:检测原理 CWE-78:操作系统命令注入(目前在标准运行中已禁用) CWE-119(缓冲区溢出)及其变体CWE-125(
2023-09-01
Tools
#cwe checker

Git完整教程(图+link)

要看 git 详细使用命令,直接上:https://git-scm.com/docs/git 这个是超老版本的架构图,大体上是没问题的,有一些命令小更新。
2023-05-01
开发
#Git

搭建个人博客

工具:Cloudflare+GitHub+Hexo FluidHexohexo 是一个快速、简洁,而且功能强大的静态博客框架。我们可以使用 Markdown 编写博客文章,然后 hexo 帮我们把 Markdown 文件渲染成静态 HTML 页面。因此 hexo 非常适合用来搭建技术类博客,以及项目文档和个人网站。 需要安装node.js依赖 github托管将博客项目托管到github仓库,并使
2023-04-01
开发
#Hexo #博客搭建
1…345

搜索

@Jimi.github