wb上看到耿师傅发的，顺便看了一下 此人发布了一个名为utf-cleaner的python包，当你安装这个python包后会启动一个Flask Web 服务，允许来自攻击IP90.156.22.65远程执行系统命令 项目地址：https://github.com/xcummins/utf-cleaner 简单看了一下其他代码没啥问题，问题出在/ut…

前言 数据库提权是指：通过执行数据库语句、数据库函数等方式提升服务器用户的权限。 首先我们要先有能力登入数据库，所以通常我们拿到webshell之后要去网站目录去找数据库连接文件，常在形如xxx.conf或conf.xxx文件中。 通俗点来说就是：我们通过一些方式获取到了目标主机数据库的用户名和密码，并且可以远程连接。我们远程登录上了mysql服务…

老博客上的文章了，21年刚学那会写的吧好像，忘记了 sql注入的绕过姿势；打过sql注入的都知道，9成靠运气，1成靠只是储备，具体情景具体操作，一切都以当前环境基础来进行绕过 如有错误烦请指出，感谢 常用绕过方法 ####大小写绕过 大小写绕过用于只针对小写或大写的关键字匹配技术正则表达式/express/i 匹配时大小写不敏感便无法绕过，这是最简…