web安全 第10页

2021-11-08hush阅读(312)赞(0)

路径与敏感信息发现概述 一般网站主站信息都比较少，我们需要在渗透测试过程的信息搜集阶段，我们可能会自动化工具获得来网站其他路径如：后台、其他未授权访问路径，扫描得到敏感文件的路径，从而找到敏感数据。 根据路径爆破工具进行使用与测评分析工具的...

2021-11-07hush阅读(266)赞(0)

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料...

2021-11-06hush阅读(239)赞(0)

背景 前一段时间我处理了一次应急响应，我还输出了一篇文章 Linux应急响应笔记。这两天又处理了一次病毒入侵，在前一次的基础上，这次应急做了一些自动化脚本，应急响应效率有了一定程度的提升，故另做一份笔记。 PS：本文重在分享应急响应经验，文...

2021-11-06hush阅读(222)赞(0)

如今各式各样的Windows漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵，这可给我们的网管带来了很大的麻烦，虽然经过精心配置的服务器可以抵御大部分入侵，但随着不断新出的漏洞，再高明的网...

2021-11-05hush阅读(254)赞(0)

前言 当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 — 进程伪装。 我们知道在windows里面有很多系统...

2021-11-04hush阅读(253)赞(0)

写在前面 这篇文章主要是通过前端JS来寻找接口进行测试，寻找漏洞成功进入后台后，进行后台文件上传html。仅供学习。 过程 前端JS进入后台 某日拿到授权站点，开始漫长的信息收集…… 收集了许久，找到了一个后台，可惜用了许多方法都无法渗透进...

2021-11-04hush阅读(270)赞(0)

开局一个Webshell，先进行简单的信息搜集，查看当前权限，正常的iis权限。 查看版本 wmic OS get Caption,CSDVersion,OSArchitecture,Version 查看软件 wmic product ge...

2021-11-03hush阅读(253)赞(0)

0x01 前言 上周在先知社区看到@Xgstar师傅写的《SQLserver写Webshell总结-突破中文路径》文章中提到一个利用批处理写Webshell至中文路径的思路，但最后他并没有成功利用这个思路写入Webshell。 因为之前也写...

2021-10-27hush阅读(247)赞(0)

最近一段时间，我们SINE安全公司一连接到数十个公司网站被跳转到彩票，博彩网 站上去，客户反映从百度搜索网站进去，直接跳转到彩票网站上，直接输入网址没有跳转， 导致客户网站的流量急剧下滑，做的百度推广跟搜狗推广，都给彩票网站做广告了，公司领...

2021-10-22hush阅读(264)赞(0)

我经常听到朋友问，是否有更好的Web日志安全性分析工具？ 首先，我们应该清楚的是，日志文件不仅可以帮助我们追踪入侵者的来源并找到其攻击路径，而且在正常的操作和维护中，日志还可以反映出许多安全攻击。 一个简单易用的Web日志分析工具可以大大提...