10 2017 档案
摘要:本文原创作者:Laimooc(原名xoanHn) 很多时候呢,我们拿到一个shell以后,偶尔会遇到密码解不了的情况,用xss收集cookie吧,感觉不方便;利用xss平台劫持表单吧,感觉麻烦,也会担心自己想要的密码别人也copy了一份等等情况吧,这个时候我们就需要自己想办法来收集想要的PWD……
阅读全文
摘要:这篇文章总结了一些笔者个人在漏洞挖掘这一块的"姿势",看了下好像也没相关类似TIPs或者文章出现,就写下此文。 本文作者:Auther : vulkey@MstLab(米斯特安全攻防实验室) 前言 “监控”一词,相信大家很常见,例如:xxx酒店厕所被安装监控、xxx明星被狗仔24小时监控,也有奶权师
阅读全文
摘要:本文作者:i春秋签约作家——rosectow 考虑到部分朋友在看文章的过程中不太明白怎么枚举破解,这篇文章是为了方便各位看我的另外一篇文章(挖洞分享-密码重置短信枚举)而写当做小科普没什么技术含量。 暴力破解,在一些新入门的朋友眼里觉得很厉害,有一种很强势的感觉,哈哈哈,我第一次学会破解的时候那时候
阅读全文
摘要:在之前sky666提到了关于大马被waf拦的问题,我决定手动去过一下bypass。可是发现怎么也过不去查杀,更别说拦截了。对此无奈,只好花了个通宵去处理一下。顺便一提,理论过所有Waf,并且被杀只需要稍微处理一下依旧可用。 Prat 1 目录 一:base64编码,处理eval函数进行绕过(失败)二
阅读全文
摘要:本文作者:i春秋签约作家——Max、 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSR
阅读全文
摘要:2017 qcon 上海专门设立了“直击黑产,业务安全的攻与防”专题,通过这次专题的了解和学习,让我对黑产的攻防有了更深入认识。 1. 安全防护趋势 2017 qcon 上海专门设立了“直击黑产,业务安全的攻与防”专题,通过这次专题的了解和学习,让我对黑产的攻防有了更深入认识。有一张图可以充分说明黑
阅读全文
摘要:ip追踪是一件比较难实现的,因为我只有一个ip,而且在没有任何技术支持下对该ip追踪,同时我在公司也没有服务器权限,仅有后台,一般的ip追踪技术分类,反应式ip追踪,主动式的追踪,分享的只是一个过程,提供一个思路我不敢保证每个人都能这样成功利用。 本文作者:i春秋签约作家——rosectow 早晨起
阅读全文
摘要:学到手的都是本事,如果觉得对你有帮助也欢迎分享给身边的基友们吧! 分享干货,手留余香哦~ 本次“开学季拜师活动”的徒弟们在师父的精心指导下,在短短5天内得到了迅速地成长,以前或当时遇到的问题都能够柳暗花明,技能稳步加血!虽不能说都是技术大作但都是认真学习的经验心得总结,字字真心,发自肺腑!(第一期拜
阅读全文
摘要:Kali是BackTrackLinux完全遵循Debian开发标准彻底的完全重建.全新的目录框架,复查并打包所有工具,我们还为VCS建立了Git树. 本次推荐内容主要介绍Kali-Linux的安装,包括镜像文件的快速安装,以及Kali-Linux硬盘安装、Kali-LinuxUSB软启动安装、Kal
阅读全文
摘要:本文作者:i春秋签约作家——MAX、 看看今天教程: 看着几个字符在键盘的位置,直接就是三个圈圈,圆心的三个字符就是答案 非常简单! 答案就是KEY 看题解密就好了!! 根据提示Asp encode解密OK key:VbSciptEncodE 这里就很简单了F12查看. VBscript编码你们懂得
阅读全文
摘要:世界黑客大会【DC010】 是全球安全圈最神秘、最前沿的黑客大派对 而作为中国首个受DEFCON授权支持成立的 地区性 信息 安全 技术交流平台 DEFCONGROUP 010(DC010) 在国内 网络 安全 领域也一直备受追崇>>>>直击现场 【DC010技术沙龙】基于.NET Framewor
阅读全文
摘要:本文作者:i春秋签约作家——黑色镰刀 0×00 前言 在这个科技发达的时代,很多时候工具都可以代替人做很多事情,之前我就有谈起过有企业将人工智能运用于网络安全方面,像如今,也有更多更人性化更智能的工具不断出现,从之前的啊D撸全站到今天的sqlmap花式玩,我们的tools也在不断变化。说回主题,针对
阅读全文
摘要:Linux是开放源代码的免费正版软件,同时也是因为较之微软的Windows NT网络操作系统而言,Linux系统具有更好的稳定性、效率性和安全性。 在Internet/Intranet的大量应用中,网络本身的安全面临着重大的挑战,随之而来的信息安全问题也日益突出。 据网上资料数据显示:2017年1至
阅读全文
摘要:前言:此篇关于1、wpa2协议漏洞的产生原因;2、scapy这个数据包库的基础;3、最后讲解代码思路,让你们从伪代码可以直接写成代码展开介绍分享~ 本文作者:i春秋签约作家——kaikaix 1、大家可以先看看官方文档 // 如果不是很熟悉scapy,推荐看一下我这篇文章的代码https://bbs
阅读全文
摘要:我们真的了解SQL注入吗? 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。SQL注入,包括常规注入场景、exp表达式注入场景、Action参数绑定注入场景和组合
阅读全文
摘要:(我知道你们都喜欢干货,所以也没亏待你们,请到文末吧,成果附件已上传~) 本文原创作者:Laimooc(原名xoanHn) 鄙人宗旨: 本人秉着爱学习爱恶搞爱研究爱进步并且遵纪守法的心态写下这篇文章,目的在于和各位信息安全爱好者共进步共繁荣。 脚本功能与优点: 一句话:记录用户对程序的访问日志,就这
阅读全文
摘要:前言:故事发生在前两天,我们去参观工业园区内一家电商公司。 去参观他们公司的时候,我说要用下无线网,他们技术说密码就是他们的网站域名,我一脸懵逼表示我不知道域名,然后对方接过我手机给我连上了他们wifi。 然后就有了后面的故事。 本文作者:i春秋签约作家——jasonx 0×01 邪恶的想法 在回来
阅读全文
摘要:iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。 任何系统都会有木马病毒的产生,不存在绝对的安全,iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。恶意的一些攻击手段包括劫持网络通讯、窃取本地数据以及篡改程序行为。很多人把安全问题完全
阅读全文
摘要:简单来说,这是攻击者可以利用属于不同网络的那些系统的攻击。 本文作者:jishuzhain 对于这种攻击,攻击者需要利用主服务器来帮助攻击者将自己添加到本地网络中,然后攻击者就可以将客户端系统进行定位,然后攻击。 实验环境要求: 攻击机:Kali Linux 枢纽机:具有两个网络接口的windows
阅读全文
摘要:那些让你加班加点过不好周末的漏洞你还记得吗? 害得我们不能约会、不能睡懒觉、不能打农药……… 漏洞1、Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞,漏洞编号为CVE-2017-12615的漏洞。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。此漏洞影响Windows平台下
阅读全文
摘要:本文作者:i春秋签约作家——非主流 你们好,我是新人,如果有什么说的不对的地方,有本事来砍我呀? 先给大家看一下我的环境。 Mssql2005+iis+asp+safedog 接着开始进入正题。 我们输入and 1=1试试先啦 Oho,no~~~ but万事皆有一个but,我们可以试试like呀 狗
阅读全文
摘要:Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络封包[分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工
阅读全文
摘要:加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。 外国人认为的“密码”一词是个动词,意味加密,也就是加密数据,他们强调的是这个过程,中国人称的“密码”是开启秘密的那个口令码,它是使用密钥文件的钥匙。所以,外国人用词更加精
阅读全文
摘要:AI迎来了改变世界的新机遇,同时也迎来了新的网络安全问题,只要是联网的系统就会有漏洞爆出~ 随着大数据的应用,人工智能逐渐走入千家万户并显示出巨大的市场空间,从机器人客服、自动驾驶汽车到无人机等,全都属于人工智能的范畴,随之而来的安全漏洞问题同样不容忽视,有些甚至已经显现。 智能家居的开门开锁——你
阅读全文
