axis2 利用小工具cat.aar
Axis2: Web Service是现在最适合实现SOAP的技术,而Axis2是实现Web Service的一种技术框架(架构)。 昨天把把菜刀脚本打包发现<>在xml会被转义,导致菜刀客户端无法连接。看起来别人可以修改response类型,但是我没成功。利用之前发的Cat小工具打包成aar就可以玩了。 axis2管理登陆默认配置了用户名为admin,密码axis2: axis2管理...
阅读全文Security(80 篇文章)
cat小工具
我觉得这都算不上什么webshell了,写这个只是为了简化一些操作。cat提供了简单的的文件遍历、管理、命令执行、反弹shell、文件下载、自动下载并执行这么几个小功能。 web界面只是一个简单的文件目录浏览功能和文件下载功能: 点击文件名可以编辑对应的文件,新建文件也可以在这里进行File地址写上需要编辑的文件绝对路径就行了: 执行系统命令会比较麻烦,因为需要自己写参数了: 请求:http://...
阅读全文SqlMap mysql udf.dll 提权
以前分享在百度网盘,好像没人看。直接发文字说明不贴图了哦。 sqlmap lib_mysqludf_sys.zip 上传dll文件到任意目录,如:D:/RECYCLER/lib_mysqludf_sys.dll 导入dll,根据版本导入到windows或mysql 插件目录(一般执行select @@plugin_dir 可看到插件目录具体路径): select load_file('D:/REC...
阅读全文[zone]利用webshell搭建socks代理
FROM:http://zone.wooyun.org/content/14470 老外的开源应用 https://github.com/sensepost/reGeorg 使用示例: python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/tunnel.jspStep 1. 上传一个脚本(asp...
阅读全文vbs下载并静默安装jre
安装完成后可以回调,替换echo 123456789和pause就行了。 dim path set ws = CreateObject("WScript.Shell") set fso=createobject("scripting.filesystemobject") ''定义安装路径 path = ws.ExpandEnvironme...
阅读全文[f4ck-Mramydnei]新型Mysql报错注入
from:https://rdot.org/forum/showthread.php?t=3167、http://sb.f4ck.org/thread-19159-1-1.html原文是俄文,不好做翻译,附上大概的内容:这种报错注入主要基于Mysql数据类型溢出 mysql > SELECT 18446744073709551610 * 2 ; ERROR 1690 ( 22003 ): B...
阅读全文shodanhq.js
登陆状态下,切换到chrome控制台: var url = "http://www.shodanhq.com/search?q=关键字&page="; for(var i=1;i<101;i++){ var request = null; if (window.ActiveXObject) { request = new ActiveXObject("M...
阅读全文vbs文件下载小脚本
linux很方便可以直接wget,windows用vbs下载挺方便的。随便在网上找了个小脚本改了下就ok了。 命令行下执行参数url:cscript 1.vbs /url:http://www.baidu.com/img/bdlogo.gif '执行后下载到当前目录:cscript 1.vbs /url:http://www.baidu.com/img/bdlogo.gif Set xP...
阅读全文JavaFilter Filter“绕过”问题
一般人喜欢用: request.getRequestURI(); 然后再判断这个URI是否合法,其实这个写法存在弊端。很简单当请求/upload/index.jsp,由于默认的web.xml默认一般指定了index.jsp为索引文件。所以访问/upload/一样可以访问到这个jsp。只有可以绕过通过Filter拦截upload目录下的所有.jsp访问。上传shell的时候可以试试把文件名改成:in...
阅读全文acat.jar 迷你WebServer自带菜刀java版
下载:ACat-jdk1.5.jar、ACat-附数据库驱动-jdk1.5.jar、 ACat-jdk.1.7.jar、ACat-附数据库驱动.jar 源码:ACat-src.zip 描述: 这是一个用java实现的非常小(18kb)的webServer。之前在drops发了一个简单的demo:http://drops.wooyun.org/papers/869。这个也非常简单,只实现了几个ser...
阅读全文