随笔分类 - 网络安全,渗透

摘要: Python已成为网络攻击的首选编程语言 最新的调查数据表明,Python已经变成了世界上最热门的编程语言了,而Python的热门风也刮到了信息安全领域中。Python,摇身一变,也变成了黑客开发网络攻击工具时的首选。 根据Imperva的监控数据显示,在今年6月底至9月中旬的所有针对网站的攻击事件中,有77%的网络攻击活动使用的都是基于Python的攻击工具。除此之外数据还显示,超过1/...阅读全文
posted @ 2018-10-29 11:42 t6 阅读(37) | 评论 (0) 编辑
摘要: windows下net view显示局域网所有正在运行的电脑 nmblookup dig阅读全文
posted @ 2018-09-11 19:04 t6 阅读(72) | 评论 (0) 编辑
摘要: 前后端交互如何确保数据安全性? 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道阅读全文
posted @ 2018-08-21 18:59 t6 阅读(56) | 评论 (0) 编辑
摘要: LDAP快速入门 1. LDAP简介 LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统,其专门针对读取,浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息阅读全文
posted @ 2018-01-18 20:11 t6 阅读(44) | 评论 (0) 编辑
摘要: TLS协议分析 https://blog.helong.info/blog/2015/09/06/tls-protocol-analysis-and-crypto-protocol-design/?from=timeline&isappinstalled=0 最近发现密码学很有意思,刚好还和工作有点阅读全文
posted @ 2018-01-17 23:39 t6 阅读(169) | 评论 (0) 编辑
摘要: 黑客惯用软件 扫描工具 流光 国内最佳的猜解密码软件,对ftp,http, 代理服务器,e-mail信箱等都可以破解 as-1021 可以查出网上正在运行的sniffers atlas dos/windows的cgi漏洞扫描工具,能扫描65种漏洞 cgiscan cgi 漏洞扫描工具,能扫描60种漏阅读全文
posted @ 2018-01-17 22:43 t6 阅读(92) | 评论 (0) 编辑
摘要: 渗透资源大全-整理 渗透资源大全-整理 漏洞及渗透练习平台: ZVulDrillhttps://github.com/710leo/ZVulDrillSecGen Ruby编写的一款工具,生成含漏洞的虚拟机https://github.com/cliffe/secgenbtslab渗透测试实验室ht阅读全文
posted @ 2018-01-03 18:54 t6 阅读(95) | 评论 (0) 编辑
摘要: 如何扫描统计全国Telnet默认口令 zrools2016-01-21共339474人围观 ,发现 23 个不明物体系统安全终端安全 如何扫描统计全国Telnet默认口令 zrools2016-01-21共339474人围观 ,发现 23 个不明物体系统安全终端安全 本文原创作者:zrools 本文阅读全文
posted @ 2017-08-22 02:22 t6 阅读(39) | 评论 (0) 编辑
摘要: XSS漏洞的渗透利用另类玩法 2017-08-08 18:20程序设计/微软/手机 XSS漏洞的渗透利用另类玩法 2017-08-08 18:20程序设计/微软/手机 作者:色豹 i春秋社区 今天就来讲一下大家都熟悉的 xss漏洞的渗透利用。相信大家对xss已经很熟悉了,但是很多安全人员的意识里 x阅读全文
posted @ 2017-08-11 01:13 t6 阅读(44) | 评论 (0) 编辑
摘要: 9人开发病毒感染超2亿电脑!Fireball病毒境外做案被举报 原标题:名校毕业生研发病毒年获利8000万 2.5亿台电脑感染 海淀网友协助民警追踪跨境黑客 高材生开公司研发病毒 一年获利8000万 全球2.5亿台电脑受感染 利用广告插件植入广告获利,去年一年获利近8000万元。几名知名高校的毕业生阅读全文
posted @ 2017-07-30 17:25 t6 阅读(90) | 评论 (0) 编辑
摘要: XSS获取cookie并利用 XSS获取cookie并利用 获取cookie利用代码cookie.asp <html> <title>xx</title> <body> <%testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在阅读全文
posted @ 2017-03-07 15:32 t6 阅读(437) | 评论 (0) 编辑
摘要: 简单利用XSS获取Cookie信息实例演示 首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先<script>alert('xxs')</script>一下。呵呵,框框出来了 再看看自己的阅读全文
posted @ 2017-03-07 15:30 t6 阅读(59) | 评论 (0) 编辑
摘要: SQL注入原理讲解,很不错! SQL注入原理讲解,很不错! 原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码阅读全文
posted @ 2017-01-20 02:25 t6 阅读(19) | 评论 (0) 编辑
摘要: 搜寻安全相关的开源软件最好的地方显然是 GitHub。你可以使用该网站上的搜索功能来找到这些有用的工具,但是有一个地方可以让你找到那些安全方面最流行的项目,那就是 GitHub 的展示区,可能知道它的人不多。 从 2014 年开始,GitHub 展示区就会按照分类陈列这些最流行的项目。在展示区中,项阅读全文
posted @ 2017-01-11 21:17 t6 阅读(30) | 评论 (0) 编辑
摘要: 这篇文章主要是谈,在远程溢出时怎样构造shellcode,才能形成一个有效的反弹链接。 0x00 反向绑定远程shell 让本地主机和远程shell建立起连接的方法有很多种,其中最常见的是在远程主机上开放一个端口,然后把它的 重定向到一个shell上。 这样我们就可以在自己的主机上通过一个简单的ne阅读全文
posted @ 2016-09-01 01:48 t6 阅读(65) | 评论 (0) 编辑
摘要: #1 Nessus:最好的UNIX漏洞扫描工具#2 Wireshark:网络嗅探工具#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具 #4 Netcat:网络瑞士军刀#5 Metasploit Framework:黑掉整个星球#6阅读全文
posted @ 2016-09-01 01:44 t6 阅读(140) | 评论 (0) 编辑
摘要: lcx.exe的使用方法 以前抓肉鸡都是通过1433弱口令,然后.. 但是发现很多服务器开了1433,3389,但是终端是连不上的,因为服务器本身是在内网,只对外开放了1433端口,幸好有lcx.exe这个东西,用sqltools.exe传倒服务器上... lcx.exe是个端口转发工具,相当于把肉阅读全文
posted @ 2016-08-24 12:33 t6 阅读(120) | 评论 (0) 编辑
摘要: 就像任何事物都有两面,黑客既可以进行恶意的攻击破坏,同样也可以通过利用自己的技术去找到系统的漏洞、缺陷等,然后通知相关企业进行修复已获得更好的防护。 但无论是出于何种目的,对于黑客们而言,工具和脚本的使用都必不可少。所谓工欲善其事,必先利其器,本文将为大家整理介绍非常受欢迎的一些黑客工具,供大家挑选阅读全文
posted @ 2016-08-09 15:49 t6 阅读(32) | 评论 (0) 编辑
摘要: 经调查,这是一起典型的利用伪基站修改号码,冒充10086群发短信的诈骗案件。据了解,伪基站主要由主机和笔记本电脑组成,犯罪分子通过短信群发器、短信发信机等设备能够收集方圆500至1000米范围内的手机卡信息,并且通过伪基站设备伪装成银行、中国移动、中国联通等任意号码向手机用户发送短信或拨打电话。当伪阅读全文
posted @ 2016-08-03 22:04 t6 阅读(172) | 评论 (0) 编辑
摘要: 前几天上网打开163首页时,发现页面底部莫名其妙的出现一个边框。这在以前可是未曾有过的,而且以后也绝不可能会有这么丑陋的设计。 趋于好奇心,立刻在边框上点了右键审查元素。尼玛,不看不知道,网易首页的HTML何时变得这么劣质了? 没有doctype声明,连title元素都没有。script还是lang阅读全文
posted @ 2016-07-28 11:02 t6 阅读(464) | 评论 (0) 编辑
摘要: XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为阅读全文
posted @ 2016-07-28 11:01 t6 阅读(18) | 评论 (0) 编辑
摘要: URPF技术白皮书 摘 要:本文介绍了URPF的应用背景,URPF主要用于防止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS攻击和DDoS攻击;随后介绍了URPF的技术原理以及URPF的几种灵活定制方案(NULL0口,缺省路由,ACL等);最后简要介绍了URPF的典型组网案例。 缩略语清单阅读全文
posted @ 2016-07-28 09:41 t6 阅读(45) | 评论 (0) 编辑
摘要: nbtstat Linux版, 通过IP获取主机名/* NETBIOS name lookup tool - by eSDee of Netric (www.netric.org) * yeh.. i was really bored :-) * * [esdee@pant0ffel] gcc -o nbtstat nbtstat.c && ./nbtstat 10.0.0.4 * Re...阅读全文
posted @ 2016-07-14 22:08 t6 阅读(39) | 评论 (0) 编辑
摘要: DNAT target 这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。 如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正确的主机或网络。DNAT target是非常有用的。比如,你的web服务器在LAN内部,而且没有可以在Internet阅读全文
posted @ 2016-07-01 02:55 t6 阅读(68) | 评论 (0) 编辑
摘要: 使用objdump objcopy查看与修改符号表动态库Linuxgccfunction 我们在 Linux 下运行一个程序,有时会无法启动,报缺少某某库。这时需要查看可执行程序或者动态库中的符号表,动态库的依赖项, Linux 有现成的工具可用:objdump 。 有时我们拿到一个静态库,想调用其阅读全文
posted @ 2016-07-01 02:50 t6 阅读(26) | 评论 (0) 编辑
摘要: Python渗透测试工具合集 如果你热爱漏洞研究、逆向工程或者渗透测试,我强烈推荐你使用 Python 作为编程语言。它包含大量实用的库和工具, 本文会列举其中部分精华。 网络 Scapy, Scapy3k: 发送,嗅探,分析和伪造网络数据包。可用作交互式包处理程序或单独作为一个库。 pypcap,阅读全文
posted @ 2016-07-01 02:16 t6 阅读(45) | 评论 (0) 编辑
摘要: 审查元素,将密码字段的type=”password”改为type=”text”。阅读全文
posted @ 2016-07-01 02:11 t6 阅读(16) | 评论 (0) 编辑
摘要: penetration testers渗透测试,hack,vnc,nat,阅读全文
posted @ 2016-07-01 02:07 t6 阅读(18) | 评论 (0) 编辑
摘要: 由丁源主编的《税收数据终端泄露防范及案例分析》撰写正是根据税务信息安全管理要求,在江苏省无锡地方税务局开发应用“税务数据防泄露安全管控平台”同时进行理论研究,将此作为应对税源专业化管理改革后各级税务机关开展大数据分析应用的重大安全保密举措和重要创新研究成果。该项目在全国税务系统内率先开展税务业务敏感阅读全文
posted @ 2016-06-21 18:21 t6 阅读(47) | 评论 (0) 编辑
摘要: 如果要做点对点的视频传输应该一般使用什么协议 如果要做点对点的视频传输应该一般使用什么协议 我想在一台电脑上接受另一台电脑的摄像头视频流并显示出来。我现在能够得到摄像头采集的每一帧图像,想要传输给接收端。如果直接传输原始数据的话,640*480的图像每一帧0.9M左右,每秒24帧也要21MB/s的传阅读全文
posted @ 2016-05-14 05:13 t6 阅读(1023) | 评论 (0) 编辑
摘要: sshuttle基于VPN的透明代理, 通过 ssh 创建一条从你电脑连接到任何远程服务器的 VPN 连 sudo sshuttle -r username@sshserver 0.0.0.0/0 -vv 开始后,sshuttle会创建一个ssh会话到由-r指定的服务器。如果-r被丢了,它会在本地运阅读全文
posted @ 2016-05-14 03:58 t6 阅读(35) | 评论 (0) 编辑
摘要: 1.DNS记录(A,NS,TXT,MX 和SOA) 2.网站服务器的类型(Apache,IIS,Tomcat) 3.域名的注册信息(哪个公司拥有这个域名) 4.你的名字,地址,EMAIL和电话 5.你的网站上所运行的脚本类型(PHP,ASP,ASP.NET,JSP,CFM) 6.服务器的操作系统类型阅读全文
posted @ 2016-04-23 16:36 t6 阅读(99) | 评论 (0) 编辑
摘要: Linux中TCP wrapper的使用 tcpwrapper的目的是对那些访问控制功能较弱的服务提供访问控制功能要想了解访问控制就必须先知道服务监听的概念: 服务监听的两种方式: listen : socket 监听在套接字上提供服务 循环 不停歇的查看某个端口来提供服务 有两种方式来判断一个服务阅读全文
posted @ 2016-04-23 16:35 t6 阅读(40) | 评论 (0) 编辑
摘要: 本文就是想对装上了防火墙的主机,进行入侵攻击的大概思路小结一下。 首先当然是用扫描器对这台服务器(以下简称主机A)进行常规的扫描,得到初步的信息。再用nmap -sS IP -P0 -p 139 ,透过防火墙查看是否开有139端口。从上面得到的信息我们可以简单的判断到:主机A的系统是什么,装有防火墙阅读全文
posted @ 2016-04-23 16:22 t6 阅读(35) | 评论 (0) 编辑
摘要: 只开80端口主机的入侵思路 主机配置:win2kserver(sp3)+sygate personal firewall pro 安全设置:不说啦太**了竟然只允许80进 扫描:先用x-scan2.3扫端口晕只开80,然后又扫了一遍 唉还是一样的结果,看来管理员也不算笨啊! 检查系统洞洞:先ping阅读全文
posted @ 2016-04-23 16:21 t6 阅读(46) | 评论 (0) 编辑
摘要: 一.TcpWrapper的定义 任何以xinetd管理的服务都可以通过TcpWrapper来设置防火墙。简单地说,就是针对源IP或域进行允许或拒绝的设置,以决定该连接是否能够成功实现连接。 通过名称我们可以知道,这个软件本身的功能就是分析TCP网络数据数据包,而TCP数据包的文件头主要记录了来源与目阅读全文
posted @ 2016-04-23 15:46 t6 阅读(28) | 评论 (0) 编辑
摘要: 通过cmd命令到ftp上下载文件 通过cmd命令到ftp上下载文件 点击"开始"菜单.然后输入"cmd"点"enter"键,出现cmd命令执行框 点击"开始"菜单.然后输入"cmd"点"enter"键,出现cmd命令执行框 2 输入"ftp"切换到到ftp下面.然后输入"open 服务器地址".点击阅读全文
posted @ 2016-04-23 15:34 t6 阅读(30) | 评论 (0) 编辑
摘要: TCP端口 7 = 回显 9 = 丢弃 11 = 在线用户 13 = 时间服务 15 = 网络状态 17 = 每日引用 18 = 消息发送 19 = 字符发生器 20 = ftp数据 21 = 文件传输 22 = SSH端口 23 = 远程终端 25 = 发送邮件 31 = Masters Para阅读全文
posted @ 2016-04-23 15:32 t6 阅读(97) | 评论 (0) 编辑
摘要: 基本信息全国计算机等级考试三级教程——信息安全技术(2016年版)作 者:教育部考试中心 编出 版 社:高等教育出版社出版时间:2015-12-1ISBN:9787040443035版 次:1字 数:670000印刷时间:2015-12-1开 本:16开包 装:平装定价:55.00元内容简介本书是依阅读全文
posted @ 2016-02-21 23:02 t6 阅读(28) | 评论 (0) 编辑
摘要: 凯文·米特尼克(Kevin Mitnick) 他是第一个在美国联邦调查局“悬赏捉拿”海报上露面的黑客。15岁的米特尼克闯入了“北美空中防务指挥系统”的计算机主机内,他和另外一些朋友翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料,然后又悄无声息地溜了出来。这件事对美国军方来说已成为一大丑闻,五角...阅读全文
posted @ 2015-10-05 20:11 t6 阅读(45) | 评论 (0) 编辑