复制代码
上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 13 下一页
2018年8月15日
2.Windows应急响应:FTP暴力破解
摘要: 0x00 前言 FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、 日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透 提权,直至控制整个网站服务器。 0x01 应急场景 从昨天开始,网站响应 阅读全文
posted @ 2018-08-15 20:31 bmjoker 阅读(1072) 评论(0) 推荐(0) 编辑
1.Windows入侵排查思路
摘要: 0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、 阅读全文
posted @ 2018-08-15 20:13 bmjoker 阅读(3503) 评论(0) 推荐(2) 编辑
2018年8月13日
7. IIS短文件/文件夹漏洞(汇总整理)
摘要: 漏洞的成因与分析: 1)利用“~”字符猜解暴露短文件/文件夹名。 2).Net Framework的拒绝服务攻击。 现在看大部分的分析讨论都是第一个的。第二个比较少。这里简单复述一下其他研究人员的分析。 1)利用“~”字符猜解暴露短文件/文件夹名 Windows 还以 8.3 格式生成与 MS-DO 阅读全文
posted @ 2018-08-13 16:52 bmjoker 阅读(3660) 评论(0) 推荐(1) 编辑
2018年8月10日
6.docker常用命令
摘要: docker 常见命令 更细的配置请参考官方文档 第一大部分容器生命周期管理 01 .docker run :创建一个新的容器并运行一个命令 $ docker run [OPTIONS] IMAGE [COMMAND] [ARG...] -a stdin: 指定标准输入输出内容类型,可选STDIN/ 阅读全文
posted @ 2018-08-10 21:20 bmjoker 阅读(328) 评论(0) 推荐(2) 编辑
5. Python大法之告别脚本小子--各类URL采集器编写
摘要: 在i春秋上面,有很多不错的脚本: https://bbs.ichunqiu.com/forum.php?mod=collection&action=view&ctid=137 https://bbs.ichunqiu.com/thread-41269-1-1.html https://bbs.ich 阅读全文
posted @ 2018-08-10 13:58 bmjoker 阅读(645) 评论(0) 推荐(0) 编辑
2018年8月9日
4.XXE (XML External Entity Injection)
摘要: XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInjec 阅读全文
posted @ 2018-08-09 22:56 bmjoker 阅读(717) 评论(0) 推荐(0) 编辑
3. XML实体注入漏洞的利用与学习
摘要: XML实体注入漏洞的利用与学习 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预 阅读全文
posted @ 2018-08-09 22:49 bmjoker 阅读(1703) 评论(0) 推荐(1) 编辑
2.XML实体注入漏洞攻与防
摘要: XML实体注入基础 当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 简单了解XML以后,我们知道要在XML中使用特殊字符,需要使用实体字符,也可以将一些可能多次会用到的短语(比如公司名称)设置为实体,然后就可以在内容中使用。 如下就声明了 阅读全文
posted @ 2018-08-09 22:43 bmjoker 阅读(4947) 评论(0) 推荐(1) 编辑
1.浅谈XXE漏洞攻击与防御
摘要: XML基础 在介绍XXE漏洞前,先学习温顾一下XML的基础知识。XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型 阅读全文
posted @ 2018-08-09 22:22 bmjoker 阅读(2297) 评论(0) 推荐(1) 编辑
2018年8月8日
1.6 xss挑战平台练习
摘要: XSS挑战之旅 最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 阅读全文
posted @ 2018-08-08 23:52 bmjoker 阅读(13062) 评论(2) 推荐(7) 编辑
2018年8月7日
4.漏洞及渗透练习平台
摘要: 漏洞及渗透练习平台: ZVulDrill https://github.com/710leo/ZVulDrill SecGen Ruby编写的一款工具,生成含漏洞的虚拟机 https://github.com/cliffe/secgen btslab渗透测试实验室 https://github.co 阅读全文
posted @ 2018-08-07 22:32 bmjoker 阅读(2880) 评论(0) 推荐(3) 编辑
2018年7月30日
22. CTF综合靶机渗透(十五)
摘要: 靶机说明: Game of Thrones Hacking CTF This is a challenge-game to measure your hacking skills. Set in Game of Thrones fantasy world. Goal: Get the 7 kingd 阅读全文
posted @ 2018-07-30 23:19 bmjoker 阅读(3914) 评论(1) 推荐(1) 编辑
2018年7月29日
21. CTF综合靶机渗透(十四)
摘要: 靶机说明: I created this machine to help others learn some basic CTF hacking strategies and some tools. I aimed this machine to be very similar in difficu 阅读全文
posted @ 2018-07-29 00:24 bmjoker 阅读(1166) 评论(0) 推荐(0) 编辑
2018年7月28日
20. CTF综合靶机渗透(十三)
摘要: 靶机说明: Wellcome to "PwnLab: init", my first Boot2Root virtual machine. Meant to be easy, I hope you enjoy it and maybe learn something. The purpose of 阅读全文
posted @ 2018-07-28 11:43 bmjoker 阅读(1949) 评论(0) 推荐(2) 编辑
2018年7月27日
3. Shodan新手入坑指南
摘要: 什么是 Shodan? 首先,Shodan 是一个搜索引擎,但它与 Google 这种搜索网址的搜索引擎不同,Shodan 是用来搜索网络空间中在线设备的,你可以通过 Shodan 搜索指定的设备,或者搜索特定类型的设备,其中 Shodan 上最受欢迎的搜索内容是:webcam,linksys,ci 阅读全文
posted @ 2018-07-27 21:57 bmjoker 阅读(1019) 评论(0) 推荐(1) 编辑
上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 13 下一页