摘要:
Debian Security Advisory(Debian安全报告) DSA-4415-1 passenger security update Package : passenger CVE ID : CVE-2017-16355 Debian Bug : 884463 在web应用程序服务器p 阅读全文
posted @ 2019-03-26 13:25
我超怕的
阅读(234)
评论(0)
推荐(0)
摘要:
Debian Security Advisory(Debian安全报告) DSA-4414-1 libapache2-mod-auth-mellon security update Package:libapache2-mod-auth-mellon CVE ID::CVE-2019-3877 CV 阅读全文
posted @ 2019-03-25 18:21
我超怕的
阅读(205)
评论(0)
推荐(0)
摘要:
一、字符型注入 针对如下php代码进行注入: $sql="select user_name from users where name='$_GET['name']'"; 正常访问URL:http://url/xxx.php?name=admin 此时实际数据库语句: select user_nam 阅读全文
posted @ 2019-03-25 13:31
我超怕的
阅读(1237)
评论(0)
推荐(2)
摘要:
Nmap扫描常用命令 - Nmap scans common commands 我超怕的-https://www.cnblogs.com/iAmSoScArEd/p/10585863.html 参数速查表 参数(注意区分大小写) 说明 -sT TCP connect()扫描,这种方式会在目标主机的日 阅读全文
posted @ 2019-03-23 21:54
我超怕的
阅读(27231)
评论(0)
推荐(12)
摘要:
Burp Suite Intruder中爆破模式介绍 - Introduction to Burst Mode in Burp Suite Intruder 1、sniper模式 使用单一的Payload组。对每个设置标记的参数分别进行爆破,攻击请求规模为标记数量与Payload数量的乘积。 例如 阅读全文
posted @ 2019-03-22 22:19
我超怕的
阅读(2647)
评论(0)
推荐(0)
摘要:
Debian Security Advisory(Debian安全报告) DSA-4412-1 drupal7 security update Package:drupal7 CVE ID:暂无 Drupal是一个功能丰富的CMS,它的文件模块中没有对输入过滤可能会导致XSS。 关于该漏洞的更多信息 阅读全文
posted @ 2019-03-22 15:49
我超怕的
阅读(236)
评论(0)
推荐(0)
摘要:
Debian Security Advisory(Debian安全报告) DSA-4411-1 firefox-esr security update Package :firefox-esr CVE ID: CVE-2018-18506 CVE-2019-9788 CVE-2019-9790 CV 阅读全文
posted @ 2019-03-22 15:37
我超怕的
阅读(401)
评论(0)
推荐(0)
摘要:
Debian Security Advisory(Debian安全报告) DSA-4410-1 openjdk-8 security update Package :openjdk-8 CVE ID: CVE-2019-2422 基于Oracle Java实现的OpenJDK中发现了内存泄露漏洞,将 阅读全文
posted @ 2019-03-22 15:30
我超怕的
阅读(175)
评论(0)
推荐(0)
摘要:
kindeditor<=4.1.5 文件上传漏洞 - Kindeditor <=4.1.5 file upload vulnerability and use 漏洞存影响版本:小于等于4.1.5的kindeditor 编辑器 漏洞影响:上传任意. txt 和. html 文件 漏洞存在动态脚本语言: 阅读全文
posted @ 2019-03-22 02:48
我超怕的
阅读(5351)
评论(0)
推荐(0)
摘要:
一、Microsoft Office Access数据库手工注入语句 1、参数后面加 ’ 、and 1=1、and 1=2看返回状态判断是否存在注入点 2、参数后面加 and exists(select*from admin) 猜表名 返回正常页面表示存在(admin)3、参数后面加 and exi 阅读全文
posted @ 2019-03-22 01:03
我超怕的
阅读(4042)
评论(0)
推荐(0)
摘要:
渗透测试常见开放端口及利用 - Penetration testing common open ports and utilization 1、文件共享服务端口 端口号 端口说明 利用方向 21/22/69 FTP/TFTP文件传输协议 允许匿名上传、下载、爆破和嗅探 2049 NFS服务 配置不当 阅读全文
posted @ 2019-03-20 13:04
我超怕的
阅读(5606)
评论(0)
推荐(3)
摘要:
风险简介: [SYSS-2018-033]:富士通无线键盘组LX901 -击键注入漏洞 风险报告ID: sys - 2018 - 033 产品:无线键盘套件LX901 制造商:富士通 受影响版本:型号GK900 测试版本:型号GK900 漏洞类型:密码问题(CWE-310)、击键注入漏洞 风险级别: 阅读全文
posted @ 2019-03-15 19:54
我超怕的
阅读(481)
评论(0)
推荐(0)
摘要:
Cisco Common Service Platform Collector - Hardcoded Credentials 思科公共服务平台收集器-硬编码凭证(CVE-2019-1723) https://www.info-sec.ca/advisories/Cisco-Collector.ht 阅读全文
posted @ 2019-03-14 19:35
我超怕的
阅读(708)
评论(0)
推荐(0)
摘要:
Microsoft Windows .Reg文件对话框消息欺骗 0day 概述 扩展名为.reg的文件是Windows注册表中使用的注册文件。这些文件可以包含hives、密钥和值。.reg文件可以在文本编辑器中新建,也可以由Windows注册表在备份注册表时生成。 漏洞类型 reg文件对话框消息欺骗 阅读全文
posted @ 2019-03-14 19:27
我超怕的
阅读(340)
评论(0)
推荐(0)
摘要:
Package : xmltooling CVE ID : CVE-2019-9628 Ross Geerlings发现xmltools库没有正确处理关于错误(畸形)XML声明上的异常,使用xmltools可能导致应用程序拒绝服务。 这个问题在1.6.0-4+deb9u2版本中得到了修复。 有关xm 阅读全文
posted @ 2019-03-14 19:22
我超怕的
阅读(351)
评论(0)
推荐(0)
摘要:
Package : waagentCVE ID : CVE-2019-0804 Francis McBratney发现Windows Azure Linux代理创建了具有全局可读权限的交换文件,从而导致了信息泄露。 这个问题在2.2.18-3~deb9u2版本中得到了修复。 有关waagent的详细 阅读全文
posted @ 2019-03-14 19:13
我超怕的
阅读(231)
评论(0)
推荐(0)
摘要:
Package : php7.0 CVE ID : 还未申请 在广泛使用的开放源码通用脚本语言PHP中发现了多个安全问题:EXIF扩展存在多个无效内存访问的情况,并且发现rename()方法实现不安全。 这个问题在7.0.33-0+deb9u3版本中得到了解决。 有关php7.0的详细安全状态,请参 阅读全文
posted @ 2019-03-11 20:38
我超怕的
阅读(186)
评论(0)
推荐(0)
摘要:
Package : chromium CVE ID : CVE-2019-5786 Clement Lecigne在chromium的文件读取器实现中发现了一个use-after-free(释放后重用 即UAF)漏洞。可以利用这个漏洞编写恶意文件,导致远程任意代码执行。 此更新还修复了前一个更新中引 阅读全文
posted @ 2019-03-11 20:33
我超怕的
阅读(176)
评论(0)
推荐(0)
摘要:
影响版本:小于FlexPaper 2.3.6的所有版本 FlexPaper (https://www.flowpaper.com) 是一个开源项目,遵循GPL协议,在互联网上非常流行。它为web客户端、移动设备和平板设备提供文档的查看功能。至少在2014年之前,维基解密一直在广泛的使用该组件,漏洞产 阅读全文
posted @ 2019-03-11 19:44
我超怕的
阅读(863)
评论(0)
推荐(0)
摘要:
package :openjpeg2 相关CVE ID: CVE-2017-17480 CVE-2018-5785 CVE-2018-6616 CVE-2018-14423 CVE-2018-18088 Debian Bug: 884738 888533 889683 904873 910763 在 阅读全文
posted @ 2019-03-11 19:10
我超怕的
阅读(226)
评论(0)
推荐(0)
摘要:
第一天 cookies注入1,web体系结构 表示层,逻辑层(动态),存储层(数据库) 表示层,逻辑层,应用层(waf),存储层 2,利用Cookies Manager火狐插件修改cookie进行注入 第二天 文件包含漏洞、POST二次注入文件包含漏洞:检查本站是否存在日志、错误记录页面,若存在,则 阅读全文
posted @ 2019-03-08 18:26
我超怕的
阅读(426)
评论(0)
推荐(0)
摘要:
Linux修改MAC地址方法 - Linux modifies MAC address method 阅读全文
posted @ 2019-03-07 20:17
我超怕的
阅读(1681)
评论(0)
推荐(0)
摘要:
ThinkPHP5.0.21&5.1.* 代码执行和命令执行漏洞利用 ThinkPHP5.0.21&5.1.* exploit code execution and command execution vulnerabilities 5.0.21 ?s=index/\think\app/invoke 阅读全文
posted @ 2019-03-05 21:11
我超怕的
阅读(4777)
评论(0)
推荐(0)
摘要:
Rootkit 是一种特殊类型的 malware(恶意软件)。 Rootkit是指其主要功能为:隐藏其他程序进程的软件,可能是一个或一个以上的软件组合;广义而言,Rootkit也可视为一项技术。在今天,Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。因为其代码运行在特权模 阅读全文
posted @ 2019-03-05 17:15
我超怕的
阅读(13581)
评论(0)
推荐(0)
摘要:
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。 2.用邮 阅读全文
posted @ 2019-03-05 16:43
我超怕的
阅读(1552)
评论(0)
推荐(0)
摘要:
转载自:https://www.williamlong.info/archives/118.html 部分内容做了修改。 通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。 IIS安全技巧 微软的产品一向是众矢之的,因此IIS服务器特别容易成 阅读全文
posted @ 2019-03-04 19:51
我超怕的
阅读(2341)
评论(0)
推荐(1)
摘要:
渗透测试流程阶段概述 前期交互阶段(查看网站了解大概功能和页面)、 情报搜集阶段(收集网络、域名、系统、应用程序等信息)、 威胁建模阶段(对收集的信息进行分析建模)、 漏洞分析阶段(对发现的漏洞进行分析验证)、 渗透攻击阶段(利用验证成功的漏洞进行攻击)、 后渗透攻击阶段(如果保持控制,维持访问)、 阅读全文
posted @ 2019-03-04 19:34
我超怕的
阅读(886)
评论(0)
推荐(1)
摘要:
1、Meterpreter 它是Metasploit框架中功能强大的后渗透模块。可以通过Meterpreter的客户端执行攻击脚本,远程调用目标主机上运行的Meterpreter服务端。 命令 作用 sessions 查看会话ID信息 idletime 显示目标主机截止当前无操作命令的时间 webc 阅读全文
posted @ 2019-02-26 21:47
我超怕的
阅读(2352)
评论(0)
推荐(1)
摘要:
中间人攻击(MITM)之数据截获原理 - The data interception principle of the man in the middle attack (MITM) 交换式局域网中截获和监听数据的方式主要有站表溢出、ARP欺骗、DHCP欺骗和ICMP重定向。广域网中主要使用路由器欺 阅读全文
posted @ 2019-02-24 16:52
我超怕的
阅读(4148)
评论(0)
推荐(1)
摘要:
1、Cain&Abel Cain&Abel是Windows下最好的口令监听和破解工具,功能异常强大,不仅提供各种协议的口令监听、弱口令攻击,而且还支持大部分散列算法口令破解,包括暴力破解和彩虹表破解。它可以远程截取并破解windows屏保口令、远程共享口令、SMB口令、Remote Desktop口 阅读全文
posted @ 2019-02-24 10:35
我超怕的
阅读(3155)
评论(0)
推荐(0)
摘要:
0、Kali Linux、BlackArch Linux 1、BackBox BackBox是基于Ubuntu的,它用于网络上渗透测试以及安全评估,同时包含一些常用的Linux安全分析工具。它的功能包括Web应用程序分析、网络分析、压力测试、嗅探、漏洞评估、计算机取证分析、漏洞利用等。使用方便快捷。 阅读全文
posted @ 2019-02-22 17:19
我超怕的
阅读(2572)
评论(0)
推荐(0)
摘要:
SET (Social Engineering Tools) 1、使用命令:setoolkit 会显示工具菜单 2、输入1 ,选择菜单中的Social-Engineering Attacks (社会工程学攻击) 会显示社会工程攻击的工具 3、输入2,选择Website Attack Vectors 阅读全文
posted @ 2019-02-21 21:36
我超怕的
阅读(3079)
评论(0)
推荐(1)
摘要:
1、 Linux或UNIX系统配置检查 系统配置的扫描是基于被动式策略进行扫描,主要检测主机上是否存在配置错误或者不符合预定义的安全策略的配置,通常需要管理员权限才能执行的扫描。 在Linux或UNIX上需要扫描的配置通常包括: 1、安全补丁是否全部安装完毕 2、是否存在弱口令 3、IP协议栈的参数 阅读全文
posted @ 2019-02-21 20:59
我超怕的
阅读(1068)
评论(3)
推荐(0)
摘要:
0x00.skipfish简介 谷歌公司出品的开源web程序评估软件。 skipfish特点:CPU资源占用低,扫描速度快,每秒可以轻松处理2000个请求,误报率低。 1x00.skipfish使用 1x01 帮助信息 root@kali:~# skipfish --help skipfish we 阅读全文
posted @ 2019-02-20 21:18
我超怕的
阅读(4319)
评论(0)
推荐(3)
摘要:
笔记内容均来源于 《网络攻防技术与实战-深入理解信息安全防护体系》 。 一、信息安全五大目标 1,保密性:a.机密性:保证隐私或机密的信息不被泄露;b.隐私性:保证个人仅可以控制和影响与之相关的信息,无法收集和存储他人的信息。 2,完整性:保证信息不被偶然或蓄意地删除、修改、伪造、乱序、重放等破坏性 阅读全文
posted @ 2019-01-23 17:18
我超怕的
阅读(1622)
评论(0)
推荐(0)
摘要:
湖湘杯 2018 WriteUp (部分),欢迎转载,转载请注明出处https://www.cnblogs.com/iAmSoScArEd/p/10016564.html ! 1、 CodeCheck(WEB) 测试admin ‘ or ‘1’=’1’# ,php报错。点击登录框下面的滚动通知,UR 阅读全文
posted @ 2018-11-25 18:25
我超怕的
阅读(2205)
评论(0)
推荐(0)
摘要:
PHP WeBaCoo后门学习笔记 - PHP WeBaCoo backdoor learning notes WeBaCoo (Web Backdoor Cookie) 是一款隐蔽的脚本类Web后门工具。设计理念是躲避AV、NIDS、IPS、网络防火墙和应用防火墙的查杀,提供混淆和原始两种后门代码 阅读全文
posted @ 2018-11-01 03:43
我超怕的
阅读(1464)
评论(0)
推荐(0)
摘要:
https://www.cnblogs.com/iAmSoScArEd/p/9762674.html 源代码如下: Point[] points=new Point[n];//Point是一个类,定义一个Point类型的数组points for(int i=0;i<n;i++) { System.o 阅读全文
posted @ 2018-10-09 20:34
我超怕的
阅读(69881)
评论(1)
推荐(14)
摘要:
二话不说,先上报错部分代码! 运行后如下提示: Notice: Undefined offset: 1 in E:\wwwroot\center.php on line 18Notice: Undefined offset: 2 in E:\wwwroot\center.php on line 18 阅读全文
posted @ 2018-09-02 16:42
我超怕的
阅读(2367)
评论(0)
推荐(0)
浙公网安备 33010602011771号