主要关注网络安全方面的技术、知识和趋势,旨在为网络安全行业的发展做出贡献。
记录一次实战稍曲折拿下目标站点的过程。前期摸点IIS7.0+ASP.NET的组合,简单尝试发现前台登录页面可能存在SQL注入,数据包如下:为了节约时间直接祭出sqlmap,-r x.txt -v 3 --random-agent --dbms=mssql --batch识别出了数据库,却被不明力量拦截了。手工尝试绕过不明力量,堆叠的方式利用xp_cmdshell尝试将命令回显从dnslog中带出来:先开x…