07 2023 档案
摘要:# 常见的webshell管理工具及流量特征 ## 菜刀 作为老牌 Webshell 管理神器,中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 最开始使用明文传输,后来采用base64加密 ##### UA字段 通常为百度,火狐
阅读全文
摘要:## 使用python编写网页图片的爬取脚本 ### 环境搭建: 首先搭建一个web服务器 安装phpstudy  XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻
阅读全文
摘要:# CSRF与SSRF ## CSRF(跨站请求伪造) 跨站请求伪造(Cross-site request forgery,CSRF),它强制终端用户在当前对其进行身份 验证后的Web应用程序上执行非本意的操作。CSRF攻击的着重点在伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的
阅读全文
摘要:# 暴力破解 见名思意,就是利用非常暴力的使用方法进行破解想要的东西(如账号密码等); 通过穷举各个密码,进行一次次破解尝试,如果成功,就找到了对应的密码,并成功提示,找不到,则继续尝试下一次。 ## 环境模拟 打开burp抓包软件 ,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时, 没有禁止外部实体的加载 ,导致可加载恶意外部文件,造成文件读取、命令执行、攻击内网网站等危害。 攻击者通过向服务器注入指定的xml实
阅读全文
摘要:# sql注入 ## sql 注入原理 针对 SQL 的攻击行为可以描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为,其成因可以归结为以下两个原因叠加造成的: 1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句。 2
阅读全文
摘要:# Fastjson反序列化漏洞 fastjson是阿里巴巴公司推出的一个用于快速处理json数据的java类库,这个库由于在传输json数据的时候,中间有一个标识,这个标识允许用户传入一个类名,因此攻击者可以传入他想要执行的类,通过执行这个类,调用rmi方法,去执行他部署的一个恶意方法 ## js
阅读全文
摘要:# HTTP协议 ## 1、什么是HTTP 超文本传输协议( HyperText Transfer Protoco,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。 HTTP(HyperText Transter Protocol,超文本传输协议 ),是一个基于请求与响应,无状
阅读全文
摘要:# Cobalt Strike > Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队
阅读全文
摘要:## kerberos Kerberos是一个网络认证协议,用于验证用户和服务之间的身份,解决分布式计算环境中的身份验证问题。它使用加密技术来提供安全的身份验证,并防止网络中的身份欺骗攻击。Kerberos协议使用了票据交换的方式,其中包括客户端、认证服务器(AS)和票据授予服务器(TGS)。 Ke
阅读全文
摘要:## 哈希传递 ### 简介 Pass The Hash 即PTH,就是通过传递Windwos 本地账户或者域用户的hash值,达到控制其他服务器的目的 在进入企业内网之后,如果是Windows PC或者服务器较多的环境,极有可能会使用到hash传递来进行内网的横传,现在企业内部一般对于口令强度均有
阅读全文
浙公网安备 33010602011771号