web安全 第17页

2021-03-09hush阅读(494)赞(0)

周末在某个CTF群偶然看到这个钓鱼网站：http://gggggg.cn （声明：本文中出现的域名、IP均被替换，并非真实存在，请勿测试），于是开始对该网站进行渗透。观察网站页面，可知这个网站应该是用来盗取QQ账号的。除了域名没有一点迷惑性...

2021-03-06hush阅读(659)赞(0)

前言 在之前发布的一篇 渗透技巧之Powershell实战思路中，学习了powershell在对抗Anti-Virus的方便和强大。团队免杀系列又有了远控免杀从入门到实践(6)-代码篇-Powershell更是拓宽了自己的认知。这里继续学习...

2021-03-05hush阅读(559)赞(0)

1.前言 最近在某个项目上天天挖洞，每天不是什么信息泄露就是xss，没有一个能getshell，愁的不行，感觉头顶都凉飕飕了。不知是早上出门时，没注意踩到狗屎，还是今天运气好，发现一处竟然有文件包含漏洞，百度一波getshell姿势，逐一尝...

2021-02-26hush阅读(545)赞(0)

WAFW00F：Web应用防火墙指纹工具。 发送一个正常的HTTP请求，并分析响应；这将确定一些WAF解决方案。 如果不成功，它就发送一些（可能是恶意的）HTTP请求，并使用简单的逻辑来推断它是哪个WAF。 如果这也不成功，它就会分析之前返...

2021-02-25hush阅读(463)赞(0)

随着开源产品的越来越盛行，作为一个Linux运维工程师，能够清晰地鉴别异常机器是否已经被入侵了显得至关重要，个人结合自己的工作经历，整理了几种常见的机器被黑情况供参考。 背景信息：以下情况是在CentOS 6.9的系统中查看的，其它Linu...

2021-02-24hush阅读(543)赞(0)

渗透测试收集信息完成后，就要根据所收集的信息，扫描目标站点可能存在的漏洞了，包括我们之前提到过的如：SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等，通过这些已知的漏洞，来寻找目标站点的突破口，在这之前我们可能就已经...

2021-02-23hush阅读(533)赞(0)

最近做项目的时候，遇到一个区块链交易所，从渗透这块走估计挺难，所以花了不少时间，打入敌人内部获取了不少信息，通过观察发现几个疑似管理员，在微信群里深入交流之后，获取了不少电话和QQ账号。 给大家po一张手工写的一些重要信息，全部打码了，整整...

2021-02-22hush阅读(523)赞(0)

漏洞标题： xx网存在超级管理员登录绕过漏洞 漏洞概要: 所属业务：xx网 漏洞类型：Web安全漏洞-未授权的访问/权限绕过 提交时间：2020-11-16 11:39:44 当前状态：已修复 漏洞概述： 网站存在登录口令泄露，并且绕过限制...

2021-02-21hush阅读(531)赞(0)

0X01设备信息 Ubuntu14.04：192.168.61.135 Kali：192.168.61.130 0X02配置过程 先用Kali探测下Ubuntu的端口情况，可以看到Ubuntu的22端口是正常开放的 接下来在Ubuntu上安...

2021-02-20hush阅读(581)赞(0)

1、前言    朋友说自己服务器巨卡，里边放了一堆项目资料,环境也集成一大堆,身为他bb，义不容辞，必须给他看看，本来以为挺简单的，给杀杀毒，清理一下文件就ok了，没想到搞了挺久，正好写这篇文章记录一下。 2、清除病毒     问了问朋友有...