随笔分类 - 06-渗透利器
渗透利器
摘要:在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。 01、漏洞案例 本案例引用的shiro版本已是目前最新的1.8.0。尝试访问系统进行登录,抓包获取参数特征,包含xxx_rememberMe=
阅读全文
摘要:在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极大的威胁。 今天给大家推荐几个工具网站,检测一下你的用户名、密码、电子邮箱地址是否已被泄漏? 1、Google密码管理器 登录Google账
阅读全文
摘要:小密圈有个朋友问,有没有比较好用的APP检测和加固平台可以推荐? 其实,关于这个问题已经有不少前辈都有总结过了,但随着时间的迁移,有些平台已不再运营,也出现了一些新的平台。故此,重新收集和整理了一下那些提供免费服务的APP安全在线检测平台。 1、爱加密 提供APP免费加密、免费检测服务,可在线查看检
阅读全文
摘要:试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等
阅读全文
摘要:当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。 本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文
阅读全文
摘要:作为技术宅的我,日常最大的爱好就是逛论坛。某日看到论坛里有一款基于主机的漏洞扫描工具,用来查找主机上公开EXP的CVE。嗯嗯,我想还是叫提权辅助工具可能会更顺口一些。在我印象中,类似的工具其实还蛮多的,比如我们熟知的Linux_Exploit_Suggester和Windows-Exploit-Su
阅读全文
摘要:现在,也许我们所认为的漏洞利用工具神器,十年后,又该会是什么样子呢?可能大概就像我们现在看到以前的啊d注入工具的样子吧。 近几日,我忽然思考这样一个问题:如果一种漏洞类型,让你推荐一款与之强相关的漏洞利用神器,你会怎么推荐? 下面,我来分享一下我心里的答案,推荐几款我认为的漏洞利用神器,欢迎各位来一
阅读全文
摘要:网络设备忘记了密码,不要慌,先看一下厂家和型号,找找产品手册,不行就在线查一查,比如下面这几个网站,说不定有惊喜。 本文分享几个默认密码在线查询网站,仅用于用户找回默认密码,不许干坏事哦。网站所提供的管理员默认密码均出于研究目的以及合法用途。 1、HUAWEI 默认账号/密码查询工具 提供默认账号查
阅读全文
摘要:攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。本文介绍十款常用的Webshell管理工具,以供你选择,你会选择哪一个? 1、中国菜刀(Chopper) 中国菜刀是一款专业的网站管理软件,用途广泛
阅读全文
摘要:经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。出于职业习惯,我打包了部分加密文
阅读全文
