归档之于 ‘ 2014 年十月

CVE-2014-4113 Privilege Escalation Exploit

HurricanePanda5

 

下载连接:panda

阅读全文

关于sqligods

最近没有更新博客,或是工作原因,或是情感原因导致近一个月精神状态不佳,每天都在恍恍惚惚中度过,毫无做为。惭愧,这些天竟然丢失了技术人所拥有的热情~

 

最近看到一个大神发布的sqligods poc,感觉确实是思路决定一切,原理其实就是用concat函数显示html和js代码,在10来年的sql注入发展中才被整合到一起,做到了优雅,潇洒的注入。那引申一下这不就是一个反射型XSS了?

尝试了下该poc,里面有许多没用的信息,于是自己修改了一下,让结果更加明朗一些(PS:由于代码使用许多HEX编码,并且有6000多字符,所以如果你复制别人的poc前最好检查下有没有带后门

阅读全文

return top