猫头鹰
信安舆情早知道

标签:命令执行

渗透测试

渗透测试小技巧——DNSlog

exp1oi7ss阅读(1175)评论(0)

在渗透环境时,我们经常会遇到疑似命令执行还有些bool注入和延时注入,但是都没有回显。 命令执行我们可能会用各种各样的请求来判断是否存在命令执行,对于bool注入和延时注入这两种注入类型的缺点就是速度慢,效率低,一个是基于对错判断数据,一个...

Web安全

在SQLite中实现命令执行

SecPaper阅读(975)评论(0)

前言 在一次家庭智能设备的安全性研究中,我们发现了一中利用SQL注入漏洞在SQLite数据库任意命令执行的新技术。这篇文档我们如何能够创建一个SQLite数据库,从shell脚本执行SQL查询。这种技术更适用于透测试和漏洞研究。 背景 SQ...

Web安全

MSSQL通过Agent Jobs实现命令执行

SecPaper阅读(1064)评论(0)

近期,Optiv公司的安全研究专家发现了一种新型的攻击手段。如果MSSQL数据库中开启了MSSQL Server Agent Job服务的话,攻击者将可以利用MSSQL Server中自带的功能来获取一个shell。 Microsoft S...

Web安全

XXE被提起时我们会想到什么

ksss阅读(941)评论(0)

0x00 XXE(XML实体注入漏洞)顾名思义,漏洞的关键点在于服务器对外部实体的解析。外部实体中可以请求他域资源,所以很多人在漏洞利用时会习惯的把XXE问题转换成SSRF的问题。前几天别人问我一个有趣的问题:Blind XXE和普通XXE...

资讯

思科精睿系列路由器存在高危漏洞

0uyeye阅读(926)评论(0)

安全专家们已经发现了思科精睿系列路由器的几个关键漏洞,在某些情况下可能会导致设备被接管。 安全专家Adam Zielinski 和Harri Kuosmanen给思科报告了关于思科精锐系列路由器的几个关键和高危漏洞。 根据思科的介绍,CVE...

MottoIN 换一个角度看安全

寻求报道联系我们