java inputstream toString

yzmm
1512 阅读

在以前的众多执行利用代码当中获取命里执行结果一直是一个比较麻烦的事情,常见的byte/char[50000]、readFully、readLine但总会有很多不便,比如说readLine的while循环读取问题。使用java.util.Scanner(xxx).useDelimiter(xxx)可以快速解决命令执行回显问题。 import java.io.IOException; import j...

阅读全文

elasticsearch Snapshot And Restore缺陷利用

yzmm
1719 阅读

elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 基础信息: 可以查看es节点信息,包括安装目录:http://localhost:9200/_nodes 未授权访问的elasticsearch(事实上绝大多数都没做访问授权)备份数据的时候存在一些小缺陷,可以用来进一步的获取权限。 参考es官方的索引快找和恢复文档(Sn...

阅读全文

IP、域名、子域名TOP3000库

yzmm
1553 阅读

app_ip_lookup.sql这个直接是SQL文件数据量400W+。IP段来自https://db-ip.com/db/ IP经纬度数据来自http://dev.maxmind.com/geoip/legacy/geolite/ 国内数据来自http://ip.taobao.com/ IP数据变动太快,有点差异很正常。db-ip的IP段好像只划到了0-223.29.206.255 漏了些国内的...

阅读全文

ASP.NET global.asax、httpHandlers、httpModules 后门

yzmm
1955 阅读

特别注意:需要特别小心配置任何一个误操作都可能导致网站彻底崩溃,对于新手操作危险系数很高。这里只是技术分享,请最好先在本地测试。如有发现BUG与我联系 :) 一:global.asax <%@ Application Language="C#" %> <script RunAt='server'> void Application_S...

阅读全文

sqlplus.jar命令行下连接Mysql、SQLServer、Oracle小工具

yzmm
1739 阅读

使用了一个btc-ascii-table小工具,可以像mysql客户端一样方便的管理数据库。自带mysql、sqlserver2000、2005+、oracle数据库驱动,可以在命令行下直连这几种数据库。连接的时候需要自行指定对应的数据库的驱动URL哦,百度下jdbc或者参考我以前的文章。 交互shell方式: 直接执行命令方式: java -jar sqlplus.jar "com.mysql....

阅读全文

Elasticsearch 任意文件读取漏洞(CVE-2015-3337)

yzmm
1423 阅读

@盛大网络 elasticsearch又出新版本了,这次修复了一个任意文件读取漏洞(写的是目录遍历)。 官方的release notes: 在这里看描述:https://github.com/elastic/elasticsearch/pull/10815 在这里看漏洞详情:https://github.com/spinscale/elasticsearch/commit/5d8e9e24c917...

阅读全文

HttpServletRequestWrapper 编码问题

yzmm
1573 阅读

当发现经过Wrapper后Spring setCharacterEncoding还乱码时,可以实现HttpServletRequestWrapper,重写public String[] getParameterValues(String name) {....}等方法,再Encoding已设了encoding。 /** * 获取应用层的编码方式,应用层Filter需要setCharacterEnc...

阅读全文

[分享]1.9亿域名A记录(主域名:1.18亿,子域名7300万)

yzmm
1614 阅读

最近社区里很多人在搞大数据分析,之前也有整理过一些数据但是量不大。这次给大家分享来自dnscensus 2013的大量域名解析数据。首先@insight-labs 感谢A牛! 总域名数量:191846073 主域:118212410 子域名:73633663 来源:dnscensus 2013 整理:admin@javaweb.org 主域名: 子域名: 其他相关数据收集: alexa和quant...

阅读全文