爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

这个SQL注入有点东西

# SQL注入高级技巧与绕过方法详解 ## 前言 SQL注入是渗透测试中常见的漏洞类型，本文总结了三种高级SQL注入案例，涉及多种绕过技术和注入方法，包括报错注入、时间盲注、子查询利用、函数绕过等技术。 ## 第一处SQL注入：日期参数注入 ### 漏洞发现 - 注入点：日期参数 - 初始测试：添加单引号导致报错 - 报错信息分析： ``` date_format('2025-06-19 00:00:00','%Y-%m-%d %H:%M:%S') // 正常 date_f

2025-08-30 03:27:48

浅谈 webshell 构造之如何获取恶意函数

# WebShell构造技术：恶意函数获取方法详解 ## 前言本文详细总结了几种在PHP环境中获取恶意函数的技术手段，这些技术可用于WebShell构造，帮助安全研究人员理解攻击手法并加强防御。 ## 1. 使用get_defined_functions获取内部函数 `get_defined_functions()`是PHP内置函数，返回所有已定义函数的数组，包括内部(internal)和用户定义(user)函数。 ### 技术要点： - 函数原型：`get_defined_func

2025-08-30 03:26:44

黄金旋律IAB组织利用暴露的ASP.NET机器密钥实施未授权访问

# ASP.NET ViewState反序列化攻击与机器密钥泄露防护指南 ## 1. 攻击活动概述 **黄金旋律(Gold Melody)**是一个初始访问代理(IAB)组织，追踪编号为TGR-CRI-0045，也被称为Prophet Spider和UNC961。该组织利用泄露的ASP.NET机器密钥实施ViewState反序列化攻击，获取企业系统未授权访问权限，并将这些权限转售给其他威胁行为者。 ### 受影响行业 - 金融服务 - 制造业 - 批发零售 - 高科技行业 - 交通运输和物

2025-08-30 03:26:10

NCorr-FP基于邻域的数据库指纹水印方案分析

# NCorr-FP基于邻域的数据库指纹水印方案分析 ## 1. 引言 NCorr-FP是一种基于邻域相关性的数据库指纹水印方案，旨在保护结构化数据集的所有权。该系统通过在数据中嵌入独特的、特定于接收者的标记（指纹），使得未来可以追溯到数据泄露的来源。 ## 2. 核心概念 ### 2.1 邻域相关性邻域相关性是指在一条记录或数据点周围选取"相似邻居"，观察这些邻居里各属性之间的统计依赖关系。这种局部层面的依赖关系称为邻域相关性。 **概念解析表：** | 概念 | 直观含义 |

2025-08-30 03:25:28

从DASCTF 2025上半年赛-泽西岛开始的H2 JDBC RCE漏洞分析

# H2 JDBC RCE漏洞分析与利用教学文档 ## 1. 环境搭建 ### 1.1 本地调试环境准备 1. 获取题目提供的war包 2. 将war包放入tomcat的webapp目录中 3. 在tomcat的startup.bat中加入debug参数以启用调试模式 4. 启动tomcat环境 ### 1.2 IDEA调试配置 1. 将项目的lib和classes目录添加为库 2. 配置JVM远程调试 3. 启动调试会话 ## 2. 鉴权绕过分析 ### 2.1 框架与配置分析

2025-08-30 03:23:49

瞎捣鼓之核心API未授权监控

# API未授权访问监控系统设计与实现 ## 1. 概述本文档详细讲解如何构建一个核心API未授权访问监控系统，该系统能够定期检测关键API是否存在未授权访问漏洞，并通过钉钉机器人及时通知安全人员。 ## 2. 系统设计原理 ### 2.1 未授权访问漏洞特点 - 比SQL注入、命令执行等漏洞更隐蔽 - 通常由系统更新或配置变更意外引入 - 难以通过常规安全测试发现 - 危害性大，可能导致数据泄露或未授权操作 ### 2.2 监控系统核心思路 1. 预先定义需要监控的核心API列表

2025-08-30 03:23:02

如何利用AI大模型辅助漏洞挖掘

# 利用AI大模型辅助漏洞挖掘技术详解 ## 1. 传统审计方法 ### 1.1 正则匹配方法传统审计工具通过正则表达式匹配高危函数和潜在漏洞模式： ```xml (file_get_contents|fopen|readfile|fgets|fread|parse_ini_file|highlight_file|fgetss|show_source)\s{0,5}\(.{0,40}\$\w{1,15}((\[["']|\[)\${0,1}[\w\[\]"'

2025-08-30 03:22:01

JavaScript 库高危漏洞致数百万应用面临代码执行攻击风险

# JavaScript form-data 库高危漏洞(CVE-2025-7783)技术分析与应对指南 ## 漏洞概述 form-data 是一个广泛使用的 JavaScript 库，用于创建可读的"multipart/form-data"流，以便向 Web 应用程序提交表单和文件上传。该库近日曝出高危安全漏洞(CVE-2025-7783)，可能导致数百万应用程序面临代码执行攻击风险。 ## 漏洞技术细节 ### 漏洞根源漏洞存在于 form-data 库核心功能的一行代码中： `

2025-08-30 03:10:52

FortiGate 飞塔固件自加解密逆向分析

# FortiGate飞塔固件自加解密逆向分析教程 ## 1. 前言与背景在IoT漏洞挖掘过程中，经常会遇到固件加密的问题，导致在没有硬件设备的情况下无法进行漏洞挖掘。本教程将详细分析FortiGate OS固件的自加密、自解密机制，通过逆向工程方法找到加密位置并实现解密。 ## 2. 准备工作 ### 2.1 环境搭建 1. 安装必要的工具： ```bash apt-get install qemu apt install qemu-utils ``` 2. 加载FortiGat

2025-08-30 03:10:24

DC-4靶机复现

# DC-4靶机渗透测试教学文档 ## 1. 环境准备与信息收集 ### 1.1 确定目标IP地址使用arp-scan工具扫描局域网内靶机的MAC地址和IP地址： ```bash arp-scan -l ``` ### 1.2 目标识别通过扫描结果确定靶机的IP地址（示例中为192.168.130.144） ## 2. Web应用渗透 ### 2.1 登录页面分析 - 访问目标IP的Web端，发现需要账号密码的登录页面 - 可能的攻击途径： - SQL注入 - 弱口令爆破

2025-08-30 03:08:31

如何用一种姿势在src斩获30w+赏金？

# ClickHouse SQL注入技术深度解析 ## 1. ClickHouse简介 ClickHouse是由Yandex开源的基于列存储的数据库，专为实时数据分析设计，其处理数据速度比传统方法快100-1000倍。主要特点包括： - 表级存储引擎插件化，支持20多种引擎（合并树、日志、接口等） - 广泛应用于电商及数据分析平台 - 国内主要用户：腾讯、阿里、华为、字节、京东、拼多多等 ## 2. SQL注入常见出现点数据分析相关功能是SQL注入高发区域： - 数据分析统计页面 -

2025-08-30 03:07:54

Chrome 高危漏洞可导致攻击者执行任意代码

# Chrome V8引擎类型混淆漏洞深度分析与防护指南 ## 漏洞概述谷歌于2025年7月23日发布了Chrome浏览器的紧急安全更新，修复了三个高危漏洞，其中最严重的是V8 JavaScript引擎中的两个类型混淆漏洞： - **CVE-2025-8010**：已确认的高危漏洞，获得8000美元漏洞赏金 - **CVE-2025-8011**：严重性评估中的高危漏洞，赏金金额待定这些漏洞允许攻击者通过精心设计的网页执行任意代码，绕过Chrome的安全沙箱，获取底层操作系统访问权限

2025-08-30 03:07:06

跳转到页