随笔分类 - 网站安全
i春秋论坛网站安全区提供专业的企业网站安全、服务器安全、网站安全防护、网站安全技术、网站安全资源、网站安全教程、网站安全学习及,网站安全防护首选i春秋论坛网站安全区。
摘要:Unix Bash 远控后门 简介 利用 Unix/Linux 自带的 Bash 和 Crond 实现远控功能,保持反弹上线到公网机器。 利用方法 先创建 /etc/xxxx 脚本文件(名字自己改),利用该脚本进行反弹。以下脚本代表全自动反弹到 8.8.8.8 的 53 端口。 nano /etc/
阅读全文
摘要:咱们今天来研究下NTFS文件流:NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用的未命名文件流一致,甚至可以用来启动程序NTFS文件流生成步骤:1.
阅读全文
摘要:前言近日闲来无事,快两年都没怎么写代码了,打算写几行代码,做代码审计一年了,每天看代码都好几万行,突然发现自己都不会写代码了,真是很DT。想当初入门代码审计的时候真是非常难,网上几乎找不到什么java审计的资料,摸索了很长时间,搜到的也仅仅讲了点原理,为了给想学java代码审计的朋友门一点入门资料,
阅读全文
摘要:在前面的phpmyadmin漏洞利用专题中介绍了如何通过root账号来获取webshell,但在现实情况中,由于Mysql版本较高以及配置文件的缘故,往往无法直接通过root账号写入网站真实路劲下获取webshell;通过研究发现其实可以通过一些方法绕过,同样可以获取webshell,下面将整个渗透
阅读全文
摘要:What?壳 所谓“壳”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植
阅读全文
摘要:文件上传论坛里面讲文件上传的很多,但是里面讲的都不全面,我就借鉴各位前辈的结晶总结了一个相对全面的。通常web 站点会有用户注册功能,而当用户登入之后大多数情况下都会存在类似头像上传、附件上传一类的功能,这些功能点往往存在上传验证方式不严格的安全缺陷,是在web 渗透中非常关键的突破口,只要经过仔细
阅读全文
摘要:0x01 前言 本文的目的不是为了介绍如何进行恶意的破坏性活动,而是为了教会你如何去防御此类破坏性活动,以帮助你扩大知识范围,完善自己的技能,如有读者运用本文所学技术从事破坏性活动,本人概不负责。 0x02 什么是Shellcode shellcode是用作利用软件漏洞的有效载荷的一小段代码,因为它
阅读全文
摘要:0x00 前言因为在百度上很难找到有关于用python打造WiFidos的工具的,而且不希望大家成为一名脚本小子,所以我打算写一篇,需要的工具有scapy,iwconfig(能开启你网卡监听功能的工具),当然少不了python,我这里是kali2.0的环境,所以可能跟你们的有所不同 0x01配置sc
阅读全文
摘要:第一章:使用PEDoll调戏cmd调用类型的锁机程序 在讨论这个锁机程序之前,我们先来讨论一下如果我们想要改动我们电脑的账户和密码,应该怎么办当然在控制面板上的创建用户密码,可以非常容易而且非常人性化的完成这一过程 当然这不是唯一的办法,还有一种比较高逼格的办法是使用cmd命令行来完成 就像上面这样
阅读全文
摘要:目录 理论基础篇 从科幻小说说起: 危险的潘多拉盒子 来说说应用程序编程接口 工欲善其事必先利其器 (*)正确地作死 (*)被劫持的应用程序接口 (***)Hook与QQ密码的战争 (***)DLL注入与Hook 1:被篡改的名单,导入表注入 2 被劫持的OEP 3.不怀好意的插班生,远程注入 (*
阅读全文
摘要:“社工库”这个词很多人并不陌生,而且也有越来越多的新闻开始提及社工库,比如:1. 2016年3月,江苏淮安公安机关网络安全保卫部门成功侦破一起侵犯公民个人信息案,抓获犯罪嫌疑人8名,捣毁国内最大的网络社工库“K8社工库”(www.k8sec.com),查获公民个人信息20亿条。2. 2016年12月
阅读全文
摘要:前言:习惯性每天都看阿里云日志,发现有个IP每天都来尝试攻击我服务器,然后就有了下文。 X.X.X.78这个IP地址,每天都来尝试搞我服务器。当然,咱们也不能怂,对吧? 通过直接访问IPX.X.X.78得知应该是个企业CMS,ip后面加上/admin进入后台页面。尝试通过账号admin 密码admi
阅读全文
摘要:漏洞概述Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。在Struts 2.3.x 系列的 Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞。当你的应用使
阅读全文
摘要:文章来源i春秋 网虫们,你造吗,网络暴力可能让一个人抑郁、崩溃甚至轻生!你造吗?擅用别人图片或转发传播视频是侵权行为!你造吗?…假如你是受害者,求助无门,那么,6月1日正式实施的《网安法》,会是你最坚强的后盾!合法权益被侵犯时,你可以拨打110或登陆网络违法犯罪举报网站http://www.cybe
阅读全文
摘要:2017年6月1日《中华人民共和国网络安全法》正式实施!这一部举世瞩目的法律的实施标志着我国网络安全法制的新的历史性时刻,那么如何理解和适应这一部重要的具有跨时代的法律,成为我们每一个人所必须面对的一个重大命题。 本次课程i春秋学院邀请到北京师范大学吴沈括教授给大家全面解读这部大法。吴沈括,北京师范
阅读全文
摘要:文章来源i春秋 《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。 在六一这个日子实施也是蛮有趣的,对于白帽子来说,国家这次就是正式告诉你什么该做,什么不该做。知法守法是每个公民的义务没错,
阅读全文
摘要:文章来源i春秋 这段时间大师傅安排了安卓逆向练习。首先 0 基础没有代码开始学起也是可以的,不用太过于执着于”我没有代码功底就学不会”,我可以很明确的说,我也没有多少代码功底,都是偶尔被大师傅逼着看。但是简单的也就仅仅能看懂,写出来又是另一个问题了。有时候我们学习很多东西需要的代码知识不多,记住一些
阅读全文
摘要:文章来源i春秋 入坑Ubuntu半年多了 记得一开始学的时候基本一星期重装三四次 尴尬了 觉得自己差不多可以的时候 就吧Windows10干掉了 c盘装Ubuntu 专心学习. 这里主要来说一下使用Ubuntu的正确姿势 Ubuntu(友帮拓、优般图、乌班图)是一个以桌面应用为主的开源GNU/Lin
阅读全文
摘要:简单的POC EXP 编写 (上) 作者BY Greekn 今天主要讲的 是关于web 方面的 poc 编写 关于web 安全 个人理解的话 一个就是攻击 另一个就是漏洞挖掘了 防御的话 看自己的经验了 攻击的话 不管自己黑的漫天飞也是利用别人的 工具 或者漏洞罢了 这样 只会攻击的话我们是学不会指
阅读全文
摘要:文章来源i春秋 这只是一个演示我自己搭建的环境,但是成功率非常高的,对方可以是其系统,首先我开启kali在打开kali终端输入nmap –sP 192.168.1.1/24 这里的ip是我的网关地址你可以输入自己的网关地址(生活中网关就是路由器地址)这段语句是扫描局域网内存活的主机如图 更多我之前做
阅读全文
浙公网安备 33010602011771号