摘要:
入口突破主要是指从外网进入内网的“根据地”突破,主要手段有: (1) 有后台或登录入口的,会尽量尝试通过弱口令、暴力破解等方式进入系统; (2) 通过系统漏洞进入,如web漏洞导致的远程命令执行、SQL注入、XXE等; (3) 找不到系统漏洞时,会尝试社工钓鱼,从人开展突破,如水坑类攻击; (4) 阅读全文
摘要:
HTTP转HTTPS—使用OpenSSL创建自签名SSL证书以及Tomcat配置SSL证书实战 2019-12-23 1 背景 对于api服务器,我们不能让访问者先登录再进行访问这样不安全,也不友好。 http协议没有任何的加密以及身份验证的机制,即时是token认证,也非常容易遭遇窃听、劫持、篡改 阅读全文
摘要:
如果你的渗透目标网站是一台虚拟主机,那么通过IP反查到的域名信息往往很有价值,因为一台物理服务器上面可能运行多个虚拟主机,这些虚拟主机具有不同的域名,但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器,就有可能通过此台服务器上其他网站的漏洞获取服务器控制权,进而迂回获取渗透目标的权限,这种技 阅读全文
摘要:
靶场推荐——pikachu 项目地址: https://github.com/zhuifengshaonianhanlu/pikachu 为了方便大家使用已经push到了docker hub 使用方法: docker pull area39/pikachu:latest docker run -d 阅读全文
摘要:
https://www.opengps.cn/Data/IP/ipplus.aspx https://chaipip.com/aiwen.html https://www.ipuu.net/ 阅读全文
摘要:
在Telegram卧底调查隐私交易 作者被人肉搜索、短信轰炸 南方都市报APP • 隐私护卫队课题组 原创2020-03-28 14:07 因为发表了一篇揭露Telegram社工库的文章,作者被曝光身份证照、遭遇短信轰炸。 ·· 1 ·· 使用本人信息调查社工库 2020年3月19日,Phala N 阅读全文
摘要:
监控github上新增的cve编号项目漏洞,推送钉钉或者server酱 项目地址: https://github.com/yhy0/github-cve-monitor本质上就是在搜索含cve关键字的项目:其调用api和类似搜索效果如下图所示 看看源码实现后直接去github搜索后,就可以利用poc 阅读全文
摘要:
阅读全文
摘要:
shodan、fofa、zoomeye的表现,看来是fofa最好。 阅读全文
摘要:
阅读全文