-
[站外广告]业务列表介绍和一般分类
业务列表介绍和一般分类:类别:攻击入侵破解开发1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。[接受授权的业务] ...
-
安全通告:phpStudy nginx解析漏洞
【漏洞说明】该漏洞是nginx的解析漏洞,phpStudy默认使用的nginx版本是Nginx1.15.11。nginx在解析文件时,由于错误的配置造成文件以错误的格式执行。phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+Z...
-
黑客技术:一次验证码爆破的突发奇想
这次挖漏洞时并没有什么有难度的操作,只是当时的一个突然的想法,在网上搜了之后发现关于这种想法的文章很少(几乎没有),所以打算发出来分享一下。涉及漏洞,验证码通用、验证码爆破思路:在有些网站中,登录处的验证码都做了防护无法爆破,而其他的一些地方验证码可以爆破,却没什么大用;但是有的时候两个页面的验证码...
-
黑客技术隔空取物之侧信道攻击
前言在学习CISSP密码学时了解到侧信道攻击(又称边信道攻击、旁路攻击side-channelattack,攻击者通过测量功耗、辐射排放以及进行某些数据处理的时间,借助这些信息倒推处理过程,以获得加密秘钥或敏感数据。本文将从实践角度尝试一种侧信道攻击方法,主要关注特殊场景下的信息泄漏方式。相关案...
-
一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链
近日,由于家人一部手机被盗,自己经历一场与一伙专业老练的利用窃取个人信息盗取他人银行账户资金的犯罪团伙的持续斗争,把这个比作一场战争,显然自己败了,败得没那么惨而已。但以一己之力对抗一个分工明确、手法专业的团伙,且能在败后分析揭露对手的攻击方法、路径,虽败,犹荣。第一次码这种文章,没有华丽的文字,只...
-
文件上传bypass安全狗
前言环境准备安全哈最新版WindowsServer2008BT一件部署Apache+PHP5.4IP:10.211.55.29upload-labs第一关开始上传上传这面是这个样子滴。第一步:上传一般图片,使用burp抓包观察。POST:POST/Pass-01/index.php?a...
-
我用三个月时间,深入挖掘一条涉案金额上亿的黑色诈骗产业链
首先,我声明。本文章内容全部都是真实的,没有任何瞎编乱造加工。还有些想和各位读者说的话,我放在了文章的末尾。实际上我说的三个月只是最近,而事实上,我在四年前,就知道有这么一条黑色产业链,但是当四年后,我再次看到这条黑色产业链时,我惊呆了,因为它变的越加庞大了,就算是现在,我也只是看见了一条肥硕的腿部...
-
黑客入门指南,普通人如何成为一名黑客
黑客介绍提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢?黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。是一个喜欢用智力通过创造性...
-
Cobalt Strike Powershell过360+Defender上线
0x01生成powershell脚本PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负前几天看了Y4er大佬免杀思路文章,我按照他的思路扩展了下总结的方法给大家参考,如有问题请大佬执教。首先通过CobaltStrike生成的powershell脚本。Set-StrictMode-V...
-
当黑客入侵咖啡机,可以做什么?
当你使用Smarter的物联网咖啡机,那么,问题来了。2015年,Smarter产品首次暴露安全问题,研究人员发现他们可以恢复第一代SmarteriKettle咖啡机中使用的Wi-Fi加密密钥。随后,再次发现第2代iKettle和当时更智能的咖啡机的版本还存在其他问题,比如没有固件签名、ESP82...
-
XSS 实战攻击思路总结
前言前几天看到B站up主公孙田浩投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的XSS漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。...
-
一文看懂shiro反序列化漏洞
ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。工作原理ApacheShiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过...
-
技术研究 | 绕过WAF的常见Web漏洞利用分析
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apa...
-
floor()报错注入详解
0x01简述floor报错注入也有叫group报错注入的,都一样,指的都是他们。floor报错注入我想大多数人跟我一样,都是会用而不明白其中的原理。这个问题困扰了在下好长时间了,所以决定好好研究下,最终产出了这篇文章,如果各位观众老爷觉得写的还行,麻烦点个关注,如果有问题也请直接联系指正,在下有礼...
-
vultr外网安装kali渗透系统
1.介绍https://www.vultr.com一个挺有名的vps服务商用邮箱注册,支持支付宝watch付款。支付自定义iso安装。可以利用这个安装kali渗透测试系统。2.购买vpsvps根据自身实际需要,包括性能使用途径。按需求选择。实际...
-
记一次针对SupeSite的中转注入实战
近期在一次演练行动中,对某目标进行了一次渗透测试,期间用到了sqlmap的中转注入技术,还是很有收获的,记录下来和大家共同分享,由于是实战,免不了部分地方是要马赛克的,大家见谅。免责声明:本文中提到的漏洞利用方法和脚本仅供研究学习使用,请遵守《网络安全法》等相关法律法规。手工注入打开网页,拉到最底看...
-
一条命令修改windows注册表
以修改windows远程桌面端口3389为3000为例子。修改注册表,命令如下:REGADD“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp”/v“PortNumb...
-
xp/2003开关3389指令
开启3389:@echoofftitle开启3389clsrem开启3389regadd“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer”/vfDenyTSConnections/tREG_DW...
-
挖洞经验 | 多种针对开启HTTP PUT方法的漏洞利用
今天分享的文章是对HTTPPUT方法开启漏洞的多种应用讲析,在实战场景中,首先我们要确定目标网站是否启用了HTTPPUT方法,如果启用的话,我们就可以结合多种利用工具和相关方法,向目标网站上传Meterpreter反弹shell,实现进一步的渗透控制。一起来看看。HTTPPUT方法介绍HTTP...
-
新人零基础接触黑客知识的学习方法
今天有许多人问我:“我看了你的文章了,但是我是新人,有没有什么学习方法啊?”我回答的是;“当然有啊,不过人和人不同,方法是自己总结出来的,就和我前面文章中介绍的名词一样,都是我在学习中根据自己的经验和对他的认识总结出来的。”下面呢我就把我自己的学习经验写出来给大家参考下,大家可以根据我的方法去总结套...