摘要:
今天遇到一个在支付宝做安全的大牛,据说以前是做白帽子的(就是专门对付黑客的),我赶忙跑去问他,什么样的密码最安全,大牛给我看了几组牛逼密码,看完我彻底给跪了。 1、码农文艺到闹心且骗稿费的密码: 密码:ppnn13%dkstFsteb.1st 密码来源:"娉娉袅袅十三余,豆蔻梢头二月... 阅读全文
摘要:
如下controller即可触发SQL注入: code 区域 public function test() { $uname = I('get.uname'); $u = M('user')->where(array( 'uname' => $unam... 阅读全文
摘要:
测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便!要求:移动终端和PC处于同一个wlan环境下第一步:获取本地地址,cmd-->ipconfig如下图第二步:配置手机联网参数1.选择"代理设置"为"手动"如下图2. 设置主机名为电脑ip地址,端口自己设定如下... 阅读全文
摘要:
0x00 相关背景介绍 Dns是整个互联网公司业务的基础,目前越来越多的互联网公司开始自己搭建DNS服务器做解析服务,同时由于DNS服务是基础性服务非常重要,因此很多公司会对DNS服务器进行主备配置而DNS主备之间的数据同步就会用到dns域传送,但如果配置不当,就会导致任何匿名用户都可以获取DN... 阅读全文
摘要:
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! "社工库"是运用社会工程学进行渗透测试时候积累的各方面数据的结构化数据库。 环境介绍 ①Host:Fedora(English)(server),win8(中文)②Fedora安装apache,M... 阅读全文
摘要:
突破安全狗和360网站卫士 进来蛋疼 肾是疼 可能是测试娃娃测试的太多了。前几天朋友让我帮他检测下他的网站安全性,网站发来一看。哇靠,又是安全狗,又是360网站卫士,这可怎好。首先是找到一个可以填写意见反馈的地方,XSS搞到后台管理COOKIE,这里不截图了。后台有个FCK,不过360网... 阅读全文
摘要:
简单的判断搜索型注入漏洞存在不存在的办法是先搜索',如果出错,说明90%存在这个漏洞。然后搜索%,如果正常返回,说明95%有洞了。然后再搜索一个关键字,比如2006吧,正常返回所有2006相关的信息,再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'='... 阅读全文
摘要:
昨天中午打开电脑,对着菜刀在那翻啊翻,找到一个64bit的os。 因为这个ip不在曾经提权过的主机列表里面,心想这应该是个低权限的网站,顺手打个whoami试试,结果给我返回了"nt authoritysystem"。看来这是一条"漏网之鱼"啊,于是就有了下面一段颇为蛋疼的经历。 查看系统信... 阅读全文
摘要:
官方下载地址:https://github.com/sophron/wifiphisher打不开的要翻GFW好事做到底wifiphisher-master.zip========================== 开源无线安全工具Wifiphisher能够对WPA加密的AP无线热点实施... 阅读全文
摘要:
中国菜刀,不用多说,是大多黑阔经常使用的工具,具体使用方法,网上有很多教程,这里我讲下如何给菜刀添加隐蔽后门。 1、后门如何触发 这里要先讲下菜刀的后门是如何触发的,知道如何触发后门,后面按这个思路往下看会方便些。当一句话连回目标服务器时,我们经常会在文件列表中右键查看文件,如下图 当我们... 阅读全文