杨参谋

摘要： 一、学术： 重要！知网学术导航：学术网站大全 若干期刊文献搜索及相关：ScienceDirectWeb of Science知网万方维普VascodaGoogle Scholar 中国国家数字图书馆实名注册后可免费下载期刊（万方、维普）、论文、图书（方正阿帕比）等资源。 读秀中文搜索 MBA智库文档 阅读全文

摘要： 发表于2015-06-24 摘要：当前的防护功能难以应对高级的定向攻击,由于企业系统所受到的是持续攻击，并持续缺乏防御力，面向“应急响应”的特别方式已不再是正确的思维模式，Garnter提出了用自适应安全架构来应对高级定向攻击。 引言 大多数企业在安全保护方面会优先集中在拦截和防御(例如反病毒)以及 阅读全文

摘要： （在拿到webshell的时候，想办法获取系统信息拿到系统权限） 一、通过常规web渗透，已经拿到webshell。那么接下来作重要的就是探测系统信息，提权，针对windows想办法开启远程桌面连接，针对linux想办法使用反弹shell来本地连接。 ① Webshell应该都可以调用系统cmd执行 阅读全文

摘要： 最基础但练得好最后也非常厉害 1． 主要由于服务器配置等原因造成的信息泄露 常用google ,bing等搜索工具，轻量级的搜索出一些遗留后门，不想被发现的后台入口，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配 阅读全文

摘要： -u #注入点-f #指纹判别数据库类型-b #获取数据库版本信息-p #指定可测试的参数(?page=1&id=2 -p “page,id”)-D “” #指定数据库名-T “” #指定表名-C “” #指定字段-s “” #保存注入过程到一个文件,还可中断，下次恢复在注入(保存：-s “xx.l 阅读全文

摘要： 目标系统信息收集组件，完全模块化，脚本均可拆可并、可合可分的使用！ 运行流程 利用FOFA插件获取兄弟域名，并透视获取到的子域名相关二级域名、IP信息 检查域名和兄弟域名是否存在域传送漏洞,存在就遍历zone记录，将结果集推到wydomians数据组 获取可以获取的公开信息 MX、DNS、SOA记录 阅读全文

摘要： SVN（subversion）是源代码版本管理软件，造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息。但一些网站管理员在发布代码时，不愿意使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就 阅读全文

摘要： 大家经常都到哪儿去下载软件和应用程序呢?有没想过下载回来的软件、应用程序或资源是否安全呢?在 Windows 10 和 Office 2016 发布当初，很多没权限的朋友都使用第三方网站去下载安装映像。而大家如何保证自己下载回来的映像或软件就是官方版本，而没有被别人篡改过呢? 很多朋友会想到将下载回 阅读全文

摘要： 常见端口列表TCP端口7 = 回显9 = 丢弃11 = 在线用户13 = 时间服务15 = 网络状态17 = 每日引用18 = 消息发送19 = 字符发生器20 = ftp数据21 = 文件传输22 = SSH端口23 = 远程终端25 = 发送邮件31 = Masters Paradise木马37 阅读全文

摘要： Paramiko是用python语言写的一个模块，遵循SSH2协议，支持以加密和认证的方式，进行远程服务器的连接。 举个常见的例子，现有这样的需求：远程连接到Linux服务器，查看上面的日志状态，大家通常使用的方法会是： 1：用telnet 2：用PUTTY 3：用WinSCP 4：用XManage 阅读全文