12 2017 档案
摘要:作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇,介绍盲注中的报错注入。 0×01 报错注入原理 其实报错注入有很多种,本文主要介绍几
阅读全文
摘要:作者:Armyzer0 Weblogic(CVE-2017-10271) 漏洞出来以后又是一波血雨腥风,正好我昨天测试的时候发现了一个存在这个漏洞的weblogic,但是他不回显咋办呢!让他返回执行结果集到dnslong首先大家先了解下 “ 这个符号在Linux的作用! 符号:` `名称:反引号,上
阅读全文
摘要:本文作者:夜莺 今天向大家提个醒,最近有一款工具名叫FackImageexploer,该工具能够将恶意的.bat和.exe程序与图片绑定在一起,假若受害者点击了图片,就会反弹个shell给不法分子,如此我们就被别人控制了。这里讲述下不法分子是如何利用这个工具去生成恶意图片。 首先,在Kali中输入以
阅读全文
摘要:本文作者:icq5f7a075d Music起~ “啊门 啊前 一棵葡萄树,啊嫩 啊嫩 绿地刚发芽,蜗牛背着那重重地壳呀,一步一步地往上爬~” 上周分析勒索病毒(GlobeImposter),笔者感觉自己算法的逆向能力很弱,于是找了些题目练手。本文逆向程序主要来源于《加密与解密实战攻略》,算法将用P
阅读全文
摘要:工具新手科普(建议大家收藏这个帖子) i春秋用户整理来自于网络,摘录于此。 刚入门的汉子,一直以来或许在收集有用的文章,有用的圈子,不但得不到大牛的回应,更多就是碰壁,别人厉害点吧,懒得理你,人之本性,扶强不扶弱,以后会贡献出大批量好文章,希望给那些进不去圈子,挤不进去的人,一个自我重塑的机会,给圈
阅读全文
摘要:涉及到一些不同的破解的方法,以及不同的破解思路,还有一些重要权限的删除等。 作者:HAI_ 这次目标是经常玩的萝卜保卫战,不知不觉,已经更新到3了。详细分析请参考https://bbs.ichunqiu.com/forum-60-1.html 1.配置部分: 1.1、工具: APKIDE 海马玩an
阅读全文
摘要:作者:jing0102 前言 有一段时间没做测试了,偶尔的时候也会去挖挖洞。本文章要写的东西是我利用ClickJacking拿下管理员权限的测试过程。但在说明过程之前,先带大家了解一下ClickJacking的基本原理以及简单的漏洞挖掘。 ClickJacking ClickJacking背景说明:
阅读全文
摘要:本文作者:simeon 来源:i春秋社区 一、什么是比特币系统 有关比特币的专业知识讲解的内容资料很多,我这里只是简单通俗的记录下个人的学习和对他的理解。大家往往看到比特币首先想问的它到底是什么,是不是钱。可以肯定的回答大家,他是钱,但是他不只是个体,他其实是一个虚拟的电子货币支付系统,是的是一个系
阅读全文
摘要:1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码
阅读全文
摘要:电影里的黑客们聊天不想我们生活中的一样,用QQ、微信的客户端,都是通过命令行来进行聊天交流的,大概是为了提升逼格吧。(文末有福利~) 本文作者:KevinSVIP 今天发现一个有趣的项目:使用mojoqq来实现命令行QQ 目标版本是:Mojo-Webqq v2.1.4 项目地址:https://gi
阅读全文
摘要:今天心血来潮给大家写个新手到黑客入门的路径图【附全部学习资料下载】! 入门介绍: 说到黑客大家可能觉得很神秘,其实我们说的的黑客是白帽子黑客,就是去寻找网站、系统、软件等漏洞并帮助厂商修复的人,刚入门的黑客大部分从事渗透工作,而渗透大部分属于web安全方向,就是利用漏洞来取得一些数据或达到控制,让对
阅读全文
摘要:真正的践行者,一定是工匠精神的受益者,用修行的价值观代替浮躁功利的工作观。用一生为代价去做一件事情,那是一种纯粹的伟大。 本文作者:i春秋签约作家——夏之冰雪 今年初写的一篇文章,漏洞根源在于人——知识深度篇 ,本来是写系列文章,因为各种个人原因一直推迟了。收拾好心情,重新出发吧! 我们在安全检测、
阅读全文
摘要:最近写了两个python的脚本不过实际意义不是很大,就是想练练python写程序,一直研究web方面脚本写的少多了,还有C语言也用的少多了。现在有时间得多写写程序,别把以前学到的知识给忘了。 作者: Jerk 2017.11.7 【注:代码若被编辑器转义或编码,大家可点击代码框左上角的纯文本查看】
阅读全文
摘要:非常基础的代码审计练习,适合有php基础的审计新手练习 本文作者:Aedoo 来源:i春秋社区 0×01 代码跟踪 首先,进入首页代码 :index.php 包含了php文件:/include/common.inc.php 跟踪这个php文件,这些文件都是包含的全局文件。 这个php文件还是先包含了
阅读全文
摘要:有一天,在机缘巧合之下我获得了一个锁机软件(是多巧合阿喂!),然后兴高采烈的把它拖入了虚拟机里蹂躏(>_<!)。 很巧,软件有虚拟机检测。。。 Emmmm好吧,随便过一下。。。 我用的虚拟机是VMware12,网上查到了一段过检测的代码: isolation.tools.setVersi
阅读全文
摘要:接触web安全中,例如上传一句话WebShell实现上传文件的功能,再通过上传的多功能WebShell,执行病毒文件最终创建远程连接账号,达到入侵目标服务器的效果。我们可以看到,webshell在整个过程中起到了决定性的作用,因此对WebShell的防御是Web安全防御体系中非常重要的一部分。那么如
阅读全文
摘要:首先事情是这样的,正在看九州海上牧云记的我,媳妇儿突然跟我说转5300,我当时心里想可能是遇到转账问题了吧。、我媳妇儿问我说:支付宝限额每天是不是5000.于是我问了起来。 我媳妇儿说转给了闺蜜3000.我当时就问他打了电话没,确认是否本人。我媳妇儿说:没打!!!!! 于是3000块钱已经收入了骗子
阅读全文
摘要:前言 好久没给朋友们带来黑客大会视频的分析了。我自己在空余时间仍然在做黑客大会的翻译工作,不过这一段时间听译的内容大多数都是工具的介绍,写起来感觉有些空(不过,如果我遇到有意思的工具,我还是会和大家分享的)。然而,前天发生的一件事情让我下定决心一定要为将要上线的一个DEF CON 23视频撰写一篇专
阅读全文
