我超怕的

2019年3月11日

Debian Security Advisory(Debian安全报告) DSA-4403-1 php7.0

摘要： Package : php7.0 CVE ID : 还未申请在广泛使用的开放源码通用脚本语言PHP中发现了多个安全问题:EXIF扩展存在多个无效内存访问的情况，并且发现rename()方法实现不安全。这个问题在7.0.33-0+deb9u3版本中得到了解决。有关php7.0的详细安全状态，请参阅读全文

posted @ 2019-03-11 20:38 我超怕的阅读(156) 评论(0) 推荐(0) 编辑

Debian Security Advisory(Debian安全报告) DSA-4404-1 chromium

摘要： Package : chromium CVE ID : CVE-2019-5786 Clement Lecigne在chromium的文件读取器实现中发现了一个use-after-free(释放后重用即UAF)漏洞。可以利用这个漏洞编写恶意文件，导致远程任意代码执行。此更新还修复了前一个更新中引阅读全文

posted @ 2019-03-11 20:33 我超怕的阅读(158) 评论(0) 推荐(0) 编辑

FlexPaper 2.3.6 远程命令执行漏洞附Exp

摘要：影响版本：小于FlexPaper 2.3.6的所有版本 FlexPaper (https://www.flowpaper.com) 是一个开源项目，遵循GPL协议，在互联网上非常流行。它为web客户端、移动设备和平板设备提供文档的查看功能。至少在2014年之前，维基解密一直在广泛的使用该组件，漏洞产阅读全文

posted @ 2019-03-11 19:44 我超怕的阅读(760) 评论(0) 推荐(0) 编辑

Debian Security Advisory(Debian安全报告) DSA-4405-1 openjpeg2

摘要： package :openjpeg2 相关CVE ID: CVE-2017-17480 CVE-2018-5785 CVE-2018-6616 CVE-2018-14423 CVE-2018-18088 Debian Bug: 884738 888533 889683 904873 910763 在阅读全文

posted @ 2019-03-11 19:10 我超怕的阅读(183) 评论(0) 推荐(0) 编辑

2019年3月8日

三天注入实战学习笔记

摘要：第一天 cookies注入1，web体系结构表示层，逻辑层（动态），存储层（数据库）表示层，逻辑层，应用层（waf），存储层 2，利用Cookies Manager火狐插件修改cookie进行注入第二天文件包含漏洞、POST二次注入文件包含漏洞：检查本站是否存在日志、错误记录页面，若存在，则阅读全文

posted @ 2019-03-08 18:26 我超怕的阅读(401) 评论(0) 推荐(0) 编辑

2019年3月7日

Linux修改MAC地址方法

摘要： Linux修改MAC地址方法 - Linux modifies MAC address method 阅读全文

posted @ 2019-03-07 20:17 我超怕的阅读(1653) 评论(0) 推荐(0) 编辑

2019年3月5日

ThinkPHP5.0.21&5.1.* 代码执行和命令执行漏洞利用

摘要： ThinkPHP5.0.21&5.1.* 代码执行和命令执行漏洞利用 ThinkPHP5.0.21&5.1.* exploit code execution and command execution vulnerabilities 5.0.21 ?s=index/\think\app/invoke 阅读全文

posted @ 2019-03-05 21:11 我超怕的阅读(4647) 评论(0) 推荐(0) 编辑

Rootkit介绍

摘要： Rootkit 是一种特殊类型的 malware（恶意软件）。 Rootkit是指其主要功能为：隐藏其他程序进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。在今天，Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。因为其代码运行在特权模阅读全文

posted @ 2019-03-05 17:15 我超怕的阅读(11519) 评论(0) 推荐(0) 编辑

web渗透测试基本步骤

摘要：基本常见步骤：一、信息收集要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。 2.用邮阅读全文

posted @ 2019-03-05 16:43 我超怕的阅读(1459) 评论(0) 推荐(0) 编辑

2019年3月4日

IIS服务器的安全保护措施

摘要：转载自：https://www.williamlong.info/archives/118.html 部分内容做了修改。通过标注Web服务器安全级别以及可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。 IIS安全技巧微软的产品一向是众矢之的，因此IIS服务器特别容易成阅读全文

posted @ 2019-03-04 19:51 我超怕的阅读(2235) 评论(0) 推荐(1) 编辑

渗透测试的流程

摘要：渗透测试流程阶段概述前期交互阶段（查看网站了解大概功能和页面）、情报搜集阶段（收集网络、域名、系统、应用程序等信息）、威胁建模阶段（对收集的信息进行分析建模）、漏洞分析阶段（对发现的漏洞进行分析验证）、渗透攻击阶段（利用验证成功的漏洞进行攻击）、后渗透攻击阶段（如果保持控制，维持访问）、阅读全文

posted @ 2019-03-04 19:34 我超怕的阅读(838) 评论(0) 推荐(1) 编辑

2019年2月26日

Kali Linux之常见后门工具介绍

摘要： 1、Meterpreter 它是Metasploit框架中功能强大的后渗透模块。可以通过Meterpreter的客户端执行攻击脚本，远程调用目标主机上运行的Meterpreter服务端。命令作用 sessions 查看会话ID信息 idletime 显示目标主机截止当前无操作命令的时间 webc 阅读全文

posted @ 2019-02-26 21:47 我超怕的阅读(2085) 评论(0) 推荐(1) 编辑

2019年2月24日

中间人攻击(MITM)之数据截获原理

摘要：中间人攻击(MITM)之数据截获原理 - The data interception principle of the man in the middle attack (MITM) 交换式局域网中截获和监听数据的方式主要有站表溢出、ARP欺骗、DHCP欺骗和ICMP重定向。广域网中主要使用路由器欺阅读全文

posted @ 2019-02-24 16:52 我超怕的阅读(3815) 评论(0) 推荐(1) 编辑

口令破解工具

摘要： 1、Cain&Abel Cain&Abel是Windows下最好的口令监听和破解工具，功能异常强大，不仅提供各种协议的口令监听、弱口令攻击，而且还支持大部分散列算法口令破解，包括暴力破解和彩虹表破解。它可以远程截取并破解windows屏保口令、远程共享口令、SMB口令、Remote Desktop口阅读全文

posted @ 2019-02-24 10:35 我超怕的阅读(2725) 评论(0) 推荐(0) 编辑

2019年2月22日

常见渗透测试工具集成系统简介

摘要： 0、Kali Linux、BlackArch Linux 1、BackBox BackBox是基于Ubuntu的，它用于网络上渗透测试以及安全评估，同时包含一些常用的Linux安全分析工具。它的功能包括Web应用程序分析、网络分析、压力测试、嗅探、漏洞评估、计算机取证分析、漏洞利用等。使用方便快捷。阅读全文

posted @ 2019-02-22 17:19 我超怕的阅读(2354) 评论(0) 推荐(0) 编辑

2019年2月21日

Kali Linux之使用SET快捷生成钓鱼网站方法

摘要： SET （Social Engineering Tools） 1、使用命令：setoolkit 会显示工具菜单 2、输入1 ，选择菜单中的Social-Engineering Attacks （社会工程学攻击）会显示社会工程攻击的工具 3、输入2，选择Website Attack Vectors 阅读全文

posted @ 2019-02-21 21:36 我超怕的阅读(2882) 评论(0) 推荐(1) 编辑

Linux或UNIX系统配置检查

摘要： 1、 Linux或UNIX系统配置检查系统配置的扫描是基于被动式策略进行扫描，主要检测主机上是否存在配置错误或者不符合预定义的安全策略的配置，通常需要管理员权限才能执行的扫描。在Linux或UNIX上需要扫描的配置通常包括： 1、安全补丁是否全部安装完毕 2、是否存在弱口令 3、IP协议栈的参数阅读全文

posted @ 2019-02-21 20:59 我超怕的阅读(997) 评论(3) 推荐(0) 编辑

2019年2月20日

Kali Linux之web安全扫描器skipfish使用

摘要： 0x00.skipfish简介谷歌公司出品的开源web程序评估软件。 skipfish特点：CPU资源占用低，扫描速度快，每秒可以轻松处理2000个请求，误报率低。 1x00.skipfish使用 1x01 帮助信息 root@kali:~# skipfish --help skipfish we 阅读全文

posted @ 2019-02-20 21:18 我超怕的阅读(4221) 评论(0) 推荐(3) 编辑

2019年1月23日

网络安全概述

摘要：笔记内容均来源于《网络攻防技术与实战-深入理解信息安全防护体系》。一、信息安全五大目标 1，保密性：a.机密性：保证隐私或机密的信息不被泄露；b.隐私性：保证个人仅可以控制和影响与之相关的信息，无法收集和存储他人的信息。 2，完整性：保证信息不被偶然或蓄意地删除、修改、伪造、乱序、重放等破坏性阅读全文

posted @ 2019-01-23 17:18 我超怕的阅读(1233) 评论(0) 推荐(0) 编辑

2018年11月25日

CTF 湖湘杯 2018 WriteUp (部分)

摘要：湖湘杯 2018 WriteUp (部分)，欢迎转载，转载请注明出处https://www.cnblogs.com/iAmSoScArEd/p/10016564.html ！ 1、 CodeCheck（WEB）测试admin ‘ or ‘1’=’1’# ，php报错。点击登录框下面的滚动通知，UR 阅读全文

posted @ 2018-11-25 18:25 我超怕的阅读(2070) 评论(0) 推荐(0) 编辑

2018年11月1日

PHP WeBaCoo后门学习笔记

摘要： PHP WeBaCoo后门学习笔记 - PHP WeBaCoo backdoor learning notes WeBaCoo （Web Backdoor Cookie）是一款隐蔽的脚本类Web后门工具。设计理念是躲避AV、NIDS、IPS、网络防火墙和应用防火墙的查杀，提供混淆和原始两种后门代码阅读全文

posted @ 2018-11-01 03:43 我超怕的阅读(1379) 评论(0) 推荐(0) 编辑

2018年10月9日

java使用类数组报错Exception in thread "main" java.lang.NullPointerException 解决

摘要： https://www.cnblogs.com/iAmSoScArEd/p/9762674.html 源代码如下： Point[] points=new Point[n];//Point是一个类，定义一个Point类型的数组points for(int i=0;i<n;i++) { System.o 阅读全文

posted @ 2018-10-09 20:34 我超怕的阅读(69442) 评论(1) 推荐(14) 编辑

2018年9月2日

PHP获取表单并使用数组存储疯狂提示 Notice: Undefined offset

摘要：二话不说，先上报错部分代码！运行后如下提示： Notice: Undefined offset: 1 in E:\wwwroot\center.php on line 18Notice: Undefined offset: 2 in E:\wwwroot\center.php on line 18 阅读全文

posted @ 2018-09-02 16:42 我超怕的阅读(2330) 评论(0) 推荐(0) 编辑

2018年8月7日

渗透测试笔记大全

摘要：【拿shell 】1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马，不行就利用IIS6.0解析漏洞":1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls2.上传图片木马遇到拦截系统，连图片木马都上传不了，记事本打开图片木马阅读全文

posted @ 2018-08-07 19:21 我超怕的阅读(2643) 评论(0) 推荐(2) 编辑

2018年7月4日

sqlmap常用操作命令

摘要：一、sqlmap常用基础命令 sqlmap Common operation command 1、基本运行步骤以下命令顺序即为sql注入常见步骤。 sqlmap -u url --dbs #获取数据库 sqlmap -u url --current-user #获取当前用户名称： sqlmap 阅读全文

posted @ 2018-07-04 17:01 我超怕的阅读(17691) 评论(0) 推荐(6) 编辑

俗人昭昭，我独昏昏。俗人察察，我独闷闷。

公告