NEW

江湖大道 – 姜鹏

江湖大道 – 姜鹏
00:00/00:00 《江湖大道》》是一首由姜鹏演唱的歌曲,在预告片结束后姜鹏演唱了专辑同名主打歌《江湖大道》。 中文名称 江湖大道 所属专辑 江湖大道(完美篇) 歌曲时长 03:32 歌曲原唱 姜鹏 填    词 吴建鸣 谱    曲 高进 歌曲语言 中文 目录 1 简介 2 乐曲内容 3 乐曲赏析 简介 编辑 《江湖大道》》是一首由姜鹏演唱的歌曲,在预告片结束后姜鹏演唱了...
NEW

江湖笑(06版《神雕侠侣》片尾曲)

江湖笑(06版《神雕侠侣》片尾曲)
00:00/00:00 简介 歌曲名:江湖笑 作词:小虫 作曲:小虫 演唱:张纪中、周华健、胡军、黄晓明、小虫(另一版本:周华健solo版,收录在2006-03-25发行的专辑《雨人》中) 出处:2006年刘亦菲版电视剧《神雕侠侣》片尾曲。该剧由黄晓明、刘亦菲、陈紫函、杨幂、钟镇涛、孟广美等联袂 歌词 编辑 张:江湖笑 恩怨了 人过招 笑藏刀 周:红尘笑 笑寂寥 心太高 到不了 ...
NEW

如何把 PhantomJS 图片的 XSS 升级成 SSRF/LFR

如何把 PhantomJS 图片的 XSS 升级成 SSRF/LFR
在一次赏金程序中,我碰见这么一个请求,用户输入然后生成图片供下载。过了一会儿,我便把图片内部的 XSS 升级成服务端的任意文件读取漏洞。因为程序的隐私性,所以我将尽力抹掉敏感信息。 原始请求如下: https://website/download?background=file.jpg&author=Brett&header=Test&text=&width=500&height=500 请求返回的文件如下: 最开始我执着于 ...

一个可大规模隐蔽窃取百度账号密码的漏洞(无需点击全线产品)

一个可大规模隐蔽窃取百度账号密码的漏洞(无需点击全线产品)
在分析map.baidu.com时发现其代码会eval执行cookie PMS_JT的值 测试 添加PMS_JT的值为alert(1),访问成功执行,确定存在cookie来源的dom xss漏洞,可构造形成xss rookit。在分析其他百度业务发现,这是一个通用的问题,基本所有的核心业务均存在这个问题。 如何体现危害呢,在http://wooyun.org/bugs/wooyun-2016-0167493已经描述,鉴于此漏洞还未公...

密码保护:反射XSS修改cookie伪造登录框劫持明文账号密码

密码保护:反射XSS修改cookie伪造登录框劫持明文账号密码
www.xxxxx.com以及其购物子域名都存在一段这样的代码,这段代码用来显示购物车里的物品数量。 1 2 3 4 var ngCartNum = d("totalProdQty"); ngCartNum = ( ngCartNum ==0 || ngCartNum == null )?0:ngCartNum; ngCartNum = ngCartNum>99?'99+':ngCartNum; document.getElementById('showTotalQty').innerHTML = ngCartNum;var ngCartNum = d("totalPr...

Burp proxy error: unknown host (IP地址unknown host解决方法)

Burp proxy error: unknown host (IP地址unknown host解决方法)
昨天在使用Burp Suite的时候对一个https的网站抓包的时候,居然返回proxy error: unknown host,当时一脸懵逼,因为我所在的工作上网环境太T(变)M(太)的复杂了。而这么复杂的上网环境真心对渗透测试完全不利,很多很多事情超级费劲超级复杂,不过这个过程中也学会了很多东西。话多了。。。。。。。 解决方法: 修改host文件,把添加域名对应的IP地址。例如我的域名是xxx.xxx...

ringzer0team CTF – Jail Escaping PHP

ringzer0team CTF – Jail Escaping PHP
Here are my solutions for the ringzer0 Jail Escaping PHP challenges. https://ringzer0team.com/ 非常不错的在线CTF闯关网站(在你答完题后,会看到别人的答案,注意需要你答题完毕才可以看到别人的答案,不过这个网站的题网上基本都已经公开通关方法了。)。能学到不少技术,博主推荐,下面文章为转载。本人不想重申太多遍,本博客【汪洋大海】栏目里的所有文章均为转载...

密码保护:OWASP Security Shepherd (Challenges 挑战) 答案(Answer) 题解

密码保护:OWASP Security Shepherd  (Challenges 挑战) 答案(Answer) 题解
OWASP Security Shepherd 相信你翻遍互联网也没找到答案吧,那恭喜你来对了,看到我这篇文章了,这里我尽可能把所有答案全部列举出来,供你参考使用呦。 XSS挑战题解 Cross Site Scripting:   跨站脚本 (XSS) 1 ---(Cross Site Scripting One)--- XssChallengeOne 答案: <input type="button" onmouseup="alert('XSS')"/>   跨站脚本 (XSS) 2--- (Cross ...

100+信息安全资源的终极列表

100+信息安全资源的终极列表
100+信息安全资源的终极列表 一个精心收集的100多个令人敬畏的信息安全工具,软件,图书馆,文件,书籍,资源和酷的东西。 如果您认为任何其他InfoSec资源应该添加到此列表中,请在注释部分中通知我。 另外,请务必查看我们的最佳黑客网站列表,您可以在其中合法地练习您的黑客技能。 网络 扫描/迷宫 监控/记录 IDS / IPS /主机IDS /主机IPS 蜂蜜罐/蜂蜜网 全包捕获/...

密码保护:绕过微信各种限制 – 无限注册微信帐号

密码保护:绕过微信各种限制 – 无限注册微信帐号
无限制注册微信号方法 这个绕过微信注册的实名或者各种限制注册并使用微信。 起因是这样的,俺有一个自己经常使用的微信,始终没有设置“微信号”,因为始终找不到合适的名字,也不知道应该设置什么样的名字,毕竟这个“微信号”只能设置一次,且无法更改。本人就想着再注册个小号吧,专门用测试或者干什么用的。因为QQ可以登录微信,然后本人心思着随便注册个QQ号,然后直接可...