04 2020 档案
摘要:前几天,看到TSRC的小密圈里发起了一个“大神”活动,聊聊初入行时,你心目中/身边的大神,刚看到活动的时候我也去参与了。在这里,重新梳理一下,也借此机会聊聊零基础的我是如何踏入安全行业,总结一下自身的成长经历,感谢一下这一路上遇见的人。 上大学那会,我们学的网络安全就真的是纯粹的”网络安全“,比如防
阅读全文
摘要:在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。 比如:当面对一个MySQL注入点,通过使用SQLmap的--os-shell命令选项,便可轻松一键获取Webshell,但是非正常退出时,便
阅读全文
摘要:小密圈有个朋友问,有没有比较好用的APP检测和加固平台可以推荐? 其实,关于这个问题已经有不少前辈都有总结过了,但随着时间的迁移,有些平台已不再运营,也出现了一些新的平台。故此,重新收集和整理了一下那些提供免费服务的APP安全在线检测平台。 1、爱加密 提供APP免费加密、免费检测服务,可在线查看检
阅读全文
摘要:当我们通过Web渗透获取了一个Shell,而且目标主机是Windows,我们该怎么去下载后门文件到目标主机上执行呢? 一般来说,实现Windows文件下载执行的方式不外乎以下几种方式。第一种,远程下载文件到本地,然后再执行;第二种,远程下载执行,执行过程没有二进制文件落地,这种方式已然成为后门文件下
阅读全文
摘要:在网站渗透过程中,我们往往需要对HTTP协议抓包分析,然后对每一个参数进行观察和测试。在使用Burpsuite抓包过程中,部分网站可能会遇到HSTS错误。 HSTS,即HTTP严格传输安全协议,它是一个互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减
阅读全文
摘要:试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等
阅读全文
摘要:当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。 本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文
阅读全文
摘要:故事发生前几天放假的时候,那天我正在海边散步,有个人加我微信,备注了求助信息。当我通过了他的好友验证请求,他给我发来这样一段话。出于对luo聊诈骗套路的好奇,我对他的这段经历进行深入的了解。本文已获得受害者本人的授权,将这段视频luo聊被骗经历改编成故事发出来,希望能警醒更多的人。 扒一扒视频luo
阅读全文
摘要:0x01 暴力破解 使用kerbrute.py: python kerbrute.py -domain <domain_name> -users <users_file> -passwords <passwords_file> -outputfile <output_file> 使用带有暴力破解模块
阅读全文
