随笔分类 - 网站安全
i春秋论坛网站安全区提供专业的企业网站安全、服务器安全、网站安全防护、网站安全技术、网站安全资源、网站安全教程、网站安全学习及,网站安全防护首选i春秋论坛网站安全区。
摘要:本文作者:i春秋签约作家——Binghe 致力于书写ichunqiu社区历史上最长篇最细致最真实的技术复现文章。 文章目录: MySQL之UDF提权 MySQL之MOF提权 MySQL之常规写启动项提权 导出木马到启动项提权 反弹端口提权 MySQL提权综合姿势 part1 mysql之UDF提权
阅读全文
摘要:控制流是指代码执行时指令的执行顺序。在各种控制逻辑的作用下,程序会沿着特定的逻辑顺序执行。一般控制逻辑包括有无条件分支、循环、函数调用等。 本文原创作者:i春秋签约作家——penguin_wwy 一、扁平化的定义 本篇讲代码混淆的一个重要手段,控制流扁平化。 所谓控制流是指代码执行时指令的执行顺序。
阅读全文
摘要:一直以来内核漏洞安全给很多人的印象就是:难,枯燥。但是内核安全是否掌握是衡量一个系统安全工程师水平的标准之一,也是安全从业人员都应该掌握的基本功。本文通过详细的实例带领读者走进内核安全的大门。难度系数:四颗星 原文地址:https://hshrzd.wordpress.com/2017/06/05/
阅读全文
摘要:python是门简单易学的语言,强大的第三方库让我们在编程中事半功倍,今天我们就来谈谈python在渗透测试中的应用,让我们自己动手打造自己的渗透工具集。 难易程度:★★★阅读点:python;web安全;文章作者:xiaoye文章来源:i春秋关键字:网络渗透技术 一、信息搜集–py端口扫描小脚本端
阅读全文
摘要:本次试验主要是针对AVI的处理,了解AVI的基本概念,并且掌握AVI文件常用的程序读写方法。知道AVI视频文件的帧的读取方法,以及了解BMP和AVI的基本关系。 本文作者:i春秋签约作家——天天 一 AVI的基本概念 1. 什么是AVI AVI是音频视频交错(Audio Video Interlea
阅读全文
摘要:翻译原创稿件,prison整理翻译,首发ichunqiu,原地址:http://lsd-pl.net/kernelvuln.pdf 1.引言 2.ldt x86 bug 2.1 问题描述 2.2 Solaris2.7 2.8 x86 2.2.1 安装call gate 2.2.2 跳转到一个新的ca
阅读全文
摘要:0x00时隔两个月了,我整整浪费了两个月的时间,这两个月我不仅没挖洞就算了,还没有学习任何的姿势,思路,语言,我到底在干嘛?反正我已经废了。可能很多学安全的人不一定是每天都在做渗透测试,每天挖洞吧?据我猜测的,不过还是有部分每天无限挖洞三天三夜,不用睡觉只靠嗑药,死都要找到漏洞,无需睡觉,想着都可怕
阅读全文
摘要:原标题:Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windows-kernel-exploitation-null-pointer-dereferenc
阅读全文
摘要:引言 这篇文章与其说是写一个去广告的工具,不如说是写一个自动化工具更为准确。我不会讲代码的细节,“一千个人眼里有一千个哈姆雷特”,每个人写代码的风格都不一样,最重要只有思路(实际上这个思路也并不高明,唯一的重点就是清楚原理),你们可以用喜欢且擅长的语言及方式来进行实现,不过最终我会放出自己的源代码(
阅读全文
摘要:Hi,又跟大家见面了,相信大家看了上一篇文章《文件寄生——寻找宿主的不归路(NTFS文件流实际应用)》后,都有看到局限性的一面。没看过上一篇文章的建议先去看完,然后再来看这篇文章,这样相对可以更加的理解。传送门:https://bbs.ichunqiu.com/thread-21137-1-1.ht
阅读全文
摘要:PentestingNode.js Application : Nodejs Application Security 原文地址:http://www.websecgeeks.com/2017/04/pentesting-nodejs-application-nodejs.html 由prison翻
阅读全文
摘要:原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋 引言; 这是一次来自遥远国度的APT攻击分析样本范例,本文作者将带领你体验二进制漏洞分析的乐趣。 过程非常详细,附带所需样本,适合新手
阅读全文
摘要:本篇文章较为详细的讲述了通过node.js的已知漏洞来完成渗透测试的过程,介绍了node.js存在的漏洞可以在多种工具下的不同利用方式。因为我认为会对论坛部分web安全新手有所帮助,所以整理到论坛中。 PentestingNode.js Application : Nodejs Applicatio
阅读全文
摘要:本文作者:夏之冰雪,i春秋签约作家 《我在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据库和无穷无尽的盗版》,一时间,这篇文章就火了,火爆程度另百度猝不及防。 其实呢,这事真不能全怪百度,毕竟用户分享出去了。之所以引起这么大轰动,主要是因为用户的文件本身,什么数据都有,导致这次危害或
阅读全文
摘要:在代码审计中,按业务流程审计当然是必须的,人工的流程审计的优点是能够更加全面的发现漏洞,但是缺点是查找漏洞效率低下。如果要定向的查找漏洞,逆向跟踪变量技术就显得更加突出,如查找XSS、SQL注入、命令执行……等等,逆向查找变量能够快速定位漏洞是否存在,本次已SQL注入为例。 本文作者:黑客小平哥,i
阅读全文
摘要:Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windows-kernel-exploitation-null-pointer-dereference/ 本
阅读全文
摘要:火爆朋友圈的䵤 䵤 䵤 特斯拉.rar分析 相信最近安全圈的朋友的朋友圈被这个连接给刷屏了 【䵤 䵤 䵤 特斯拉.rar】:http://omgmkt.qq.com/car/?from=timeline</font> 很多做前端的朋友都可能认为这是基于FLASH实现的,然而并不是,整个页面加载了超过
阅读全文
摘要:vsftpd-2.3.4早期版本存在恶意的后门,在钟馗之眼上目前骇客以收到如此的主机,不过很多的服务器都已经被修复过,但总有漏网之鱼,有兴趣的小伙伴不妨去试试 0×01前言: vsftpd-2.3.4早期版本存在恶意的后门,在钟馗之眼上目前骇客以收到如此的主机,不过很多的服务器都已经被修复过,但总有
阅读全文
摘要:"如何成为一个合格的硬件白帽子? 答案: 一个有聪明大脑的你 要有归纳类比和善于用GOOGLE的能力(百度?放弃吧) 善于翻阅和查询相关开发文档和强大的跑路能力。" WARNING!!! 本文具有相当的攻击性以及复现性,仅供技术参考与教学用途研究,切勿用于非法用途,参考此文进行犯罪的相关人员与本人无
阅读全文
摘要:0x00 前言: 前几个星期在写一个微博监控系统 可谓是一波三折啊 获取到微博后因为一些字符编码问题 导致心态爆炸开发中断 但是就在昨天发现了另外一个微博的接口 一个手机微博的接口https://m.weibo.cn/ 经过一番测试后认为这个接口满足我的要求 就继续完成未完成的使命吧 0x01 分析
阅读全文
浙公网安备 33010602011771号