java inputstream toString
在以前的众多执行利用代码当中获取命里执行结果一直是一个比较麻烦的事情,常见的byte/char[50000]、readFully、readLine但总会有很多不便,比如说readLine的while循环读取问题。使用java.util.Scanner(xxx).useDelimiter(xxx)可以快速解决命令执行回显问题。 import java.io.IOException; import j...
阅读全文app_feature web应用特征识别库
这是一个规则为json版的web应用特征识别库,直接导入mysql即可使用。数据来源http://fofa.so,有部分增减。 下载地址: /uploads/file/20170330/20170330092456_926.sql ...
阅读全文elasticsearch Snapshot And Restore缺陷利用
elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 基础信息: 可以查看es节点信息,包括安装目录:http://localhost:9200/_nodes 未授权访问的elasticsearch(事实上绝大多数都没做访问授权)备份数据的时候存在一些小缺陷,可以用来进一步的获取权限。 参考es官方的索引快找和恢复文档(Sn...
阅读全文IP、域名、子域名TOP3000库
app_ip_lookup.sql这个直接是SQL文件数据量400W+。IP段来自https://db-ip.com/db/ IP经纬度数据来自http://dev.maxmind.com/geoip/legacy/geolite/ 国内数据来自http://ip.taobao.com/ IP数据变动太快,有点差异很正常。db-ip的IP段好像只划到了0-223.29.206.255 漏了些国内的...
阅读全文ASP.NET global.asax、httpHandlers、httpModules 后门
特别注意:需要特别小心配置任何一个误操作都可能导致网站彻底崩溃,对于新手操作危险系数很高。这里只是技术分享,请最好先在本地测试。如有发现BUG与我联系 :) 一:global.asax <%@ Application Language="C#" %> <script RunAt='server'> void Application_S...
阅读全文sqlplus.jar命令行下连接Mysql、SQLServer、Oracle小工具
使用了一个btc-ascii-table小工具,可以像mysql客户端一样方便的管理数据库。自带mysql、sqlserver2000、2005+、oracle数据库驱动,可以在命令行下直连这几种数据库。连接的时候需要自行指定对应的数据库的驱动URL哦,百度下jdbc或者参考我以前的文章。 交互shell方式: 直接执行命令方式: java -jar sqlplus.jar "com.mysql....
阅读全文elasticsearch 未授权访问-数据库配置信息泄漏
elasticsearch在安装了river之后可以同步多种数据库数据(包括关系型的mysql、mongodb等) 安装过程看这里:https://github.com/jprante/elasticsearch-jdbc 那么怎么知道别人是不是在用elasticsearch的river呢? http://localhost:9200/_cat/indices里面的indices包含了_river...
阅读全文Elasticsearch 任意文件读取漏洞(CVE-2015-3337)
@盛大网络 elasticsearch又出新版本了,这次修复了一个任意文件读取漏洞(写的是目录遍历)。 官方的release notes: 在这里看描述:https://github.com/elastic/elasticsearch/pull/10815 在这里看漏洞详情:https://github.com/spinscale/elasticsearch/commit/5d8e9e24c917...
阅读全文HttpServletRequestWrapper 编码问题
当发现经过Wrapper后Spring setCharacterEncoding还乱码时,可以实现HttpServletRequestWrapper,重写public String[] getParameterValues(String name) {....}等方法,再Encoding已设了encoding。 /** * 获取应用层的编码方式,应用层Filter需要setCharacterEnc...
阅读全文[分享]1.9亿域名A记录(主域名:1.18亿,子域名7300万)
最近社区里很多人在搞大数据分析,之前也有整理过一些数据但是量不大。这次给大家分享来自dnscensus 2013的大量域名解析数据。首先@insight-labs 感谢A牛! 总域名数量:191846073 主域:118212410 子域名:73633663 来源:dnscensus 2013 整理:admin@javaweb.org 主域名: 子域名: 其他相关数据收集: alexa和quant...
阅读全文