[转]绕过360,安全狗,D盾等进行Sql注入

[转]绕过360,安全狗,D盾等进行Sql注入

作者:Bypass

0x01 前言

在测试过程中,经常会遇到一些主机防护软件,对这方面做了一些尝试,可成功bypass了GET和POST的注入防御,分享一下姿势。

0x02 环境搭建

Windows Server 2003+phpStudy

sql注入点测试代码:

阅读更多
[转]phpmyadmin日志拿shell

[转]phpmyadmin日志拿shell

作者:珍惜少年时

前提:条件是root用户。

思路:就是利用mysql的一个日志文件。这个日志文件每执行一个sql语句就会将其执行的保存。我们将这个日志文件重命名为我们的shell.php然后执行一条sql带一句话木马的命令。然后执行菜刀连接之!

要先把general log设置为ON

阅读更多
[转]一些不包含数字和字母的webshell

[转]一些不包含数字和字母的webshell

作者:离别歌

正文:

在小密圈提了个问题,“如何编写一个不使用数字和字母的webshell”,并具体成如下代码:

1
2
3
4
<?php
if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {
eval($_GET['shell']);
}

那么,这个代码如何利用?

阅读更多