摘要:
零基础学黑客,搜公众号:白帽子左一 概述 传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据方面的安全风险。过度依赖基于漏洞 阅读全文
摘要:
零基础学黑客,搜公众号:白帽子左一 本文只用于网络安全的技术讨论,禁止用于违法途径,且行且珍惜! 最近很多粉丝私信对我说,能不能再手机上查看对方的物理IP地址,电脑上的太麻烦了。 想想也是,所以今天没什么事,就把他写出来吧。 为此还先把一个损友从周公那活生生的拽了回来,经过我一顿微信狂轰乱炸,此时的 阅读全文
摘要:
零基础学黑客,搜公众号:白帽子左一 进入内网之后,是一种由点到线再到面的测试,先弄清楚当前机器的情况,如在域中角色,提供的服务等信息;再以此为跳板收集其它机器的信息,当收集的信息足够多,拿下域控的可能型也就越高。 本机信息收集 为了后续的提权等操作,首先要尽可能拿下当前机器的权限,所以对当前机器的信 阅读全文
摘要:
公众号:白帽子左一 验证码识别 前言 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,其各个组件之间可灵活配合,可定制化程度极高,正可谓居家旅行杀人越货必备之神器。但是当遇到各式各样的验证码,防火墙等场景,神器也无从下手。有幸 Burp Suite 提供了非常强大的开发接口 阅读全文
摘要:
公众号:白帽子左一 SQL注入基础 **SQL注入**(英语:SQL injection),是发生于应用程序与数据库层的[安全漏洞](https://zh.wikipedia.org/wiki/安全漏洞)。简而言之,是在输入的字符串之中注入[SQL](https://zh.wikipedia.org 阅读全文
摘要:
公众号:白帽子左一 本文仅用于技术讨论,禁止用于违法途径 MSF简介 Metasploit(MSF)是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞,是一款专业级漏洞攻击工具。 当H.D. Moore在2003年发布Metasploit 阅读全文
摘要:
公众号:白帽子左一 hash 介绍 在域环境中,用户信息存储在域控的ntds.dit(C:\Windows\NTDS\NTDS.dit)中;非域环境也就是在工作组环境中,当前主机用户的密码信息存储着在sam文件(C:\Windows\System32\config\SAM)。Windows操作系统通 阅读全文
摘要:
公众号:白帽子左一 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令windows运行teamserver.bat 阅读全文
摘要: 
公众号:白帽子左一 版本说明:Burp Suite2.1 下载地址: 链接:https://pan.baidu.com/s/1JPV8rRjzxCL-4ubj2HVsug 提取码:zkaq 使用环境:jre1.8以上 下载链接:https://pan.baidu.com/s/1wbS31_H0muB 阅读全文
公众号:白帽子左一 版本说明:Burp Suite2.1 下载地址: 链接:https://pan.baidu.com/s/1JPV8rRjzxCL-4ubj2HVsug 提取码:zkaq 使用环境:jre1.8以上 下载链接:https://pan.baidu.com/s/1wbS31_H0muB 阅读全文