admin的文章

11年前 (2014-02-18) 3121浏览 0评论

今天看了黑防2009精华本下册《双字节编码：PHP的隐形杀手》一文，深受启发。 当php.ini中magic_quotes_gpc被设置为on时，提交的参数会被转义，例如，单引号会被转义成了’。一下子截断了字符型注入的路。 GBK双字节编...

11年前 (2014-02-18) 3859浏览 0评论

Evi1m0，来自知道创宇，邪红色信息安全组织创始人 知乎用户、刘筱羽、Daniel 等人赞同 今 天（2014年2月17日）下午，互联网安全警报被Wooyun平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打 响...

11年前 (2014-02-18) 1753浏览 0评论

Netsparker是一款综合型的web应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker与其他综合 性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site ...

11年前 (2014-02-18) 2395浏览 0评论

Author : Robot [BHST] Blog : http://www.sec-lab.org 如果将IIS应用程序池的权限调整至内置账户,如图01,也是无法上传文件至目标的. 原本以为调整至system权限就可以了,没想到 默 认的标识是...

11年前 (2014-02-18) 3965浏览 0评论

一直在寻找一款能够记录SSH密码的工具，subtty这款工具能够记录su,sudo,SSH,gpg, cryptmount等，非常强大，只要是一个交互的终端即可。 该工具作者是Julien Tinnes，感谢这位大神，这里也分享给大家。 在作者博客下...

11年前 (2014-02-18) 1388浏览 0评论

中国互联网络信息中心 16 日发布的数据显示，2013年，微博相比 2012 年底用户规模下降 2783 万人，使用率降低。我在微博上调侃道：「在有关部门打击下，在微信的蚕食下，在微博产品经理的努力下，终于完成了一年下降 2783 万人这一宏伟目标。...

11年前 (2014-02-18) 1864浏览 0评论

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。 CC攻击的攻击技术含量低，利用工具...

11年前 (2014-02-18) 2893浏览 0评论

今天需要修改程序里的数据内容，本来很简单只用改config配置文件就可以了，数据是写在那里面的，结果那个程序作了保护，一旦修改 config，就会报“文件遭到破坏，请于管理员联系！”。心想这下糟了，又没有源码，这怎么改啊。想起之前做项目的时候有人反汇...

11年前 (2014-02-18) 5235浏览 1评论

ZMap:https://zmap.io 里面有研究论文和2013USENIX安全大会的演讲稿 解释点解ZMap为嘛so fast：http://www.zhihu.com/question/21505586/answer/18443313 Nmap...

11年前 (2014-02-16) 1819浏览 1评论

最近管理的一批机器，有个需求是要统一修改一个帐号的用户名密码，比如将qa帐号的密码改为1234，后来还为了脚本化，很方便的执行，还使用了非交互式地修改用户的密码。简单记录一下吧。 1. 交互式配置本地用户的密码：passwd 命令 [root@hos...

11年前 (2014-02-16) 1904浏览 0评论

文/金错刀（微信公众号ijincuodao） 我常说，我们做案例式培训的方式跟其他人不一样，很多公司只是就案例而案例，我们的方式就一句话：用别人的的血泪武装自己。 这里边，除了方法论，更重要的是行动工具。如何让自己的团队嗷嗷叫，执行力强悍，甚至...

11年前 (2014-02-16) 2775浏览 0评论

过完年回公司比较无聊，一不小心看到微博里美尤莉娅的图片，惊为天人，有图为证！！！ 百度之原来这货以前叫小泉彩，貌似动了几个小手术换了个马甲重新出道了。你拍AV你家里知道么？。于是乎下了几个种子看了下，感觉还行（像苍老师什么的我真的没有看过哈哈），狠...

11年前 (2014-02-16) 3174浏览 0评论

昨天几个朋友聊到了某个cms里用的360webscan脚本，问我怎么绕过。其实之前一直没有研究过正则的绕过，当然这次也不是正则的绕过，但最终目的是达到了，全面绕过了360webscan对于注入与xss的防护。 使用360webscan的一大cms就是...

11年前 (2014-02-15) 5520浏览 1评论

反弹shell原因： Linux提权绝大部分都靠的是Local Exploit。WebShell一般都可以执行命令，但是溢出必须在可交互环境运行，否则如果直接在WebShell执行，即使能溢出提权成功，也没法 利用。因此必须要反弹一个Shell命令行...

11年前 (2014-02-14) 1740浏览 0评论

首先在Shell下把安全狗的安装配置给下来 默认安装路径： C:\Program Files\SafedogServer\SafeDogGuardCenter 找到 ProGuardData.ini 下载文件到本地虚拟机 虚拟机安装安全狗 然后文件...

11年前 (2014-02-14) 2991浏览 0评论

本文总结了今朝收集上斗劲风行的渗入测试练习训练体系，这些体系里面都供给了一些实际的安然漏洞，排名不分先后，各位安然测试人员可以亲身实践如何哄骗这个漏洞，同时也可以进修到漏洞的相干常识。 DVWA （Dam Vulnerable Web Applic...

11年前 (2014-02-12) 4597浏览 0评论

对于修改了一些文件，导致开机不能进行下去，无法使用的时候，可以进入单用户模式更改系统。 单用户模式下，可以操作文件，可以执行命令，就像是正常登录在系统上一样。说白了，就是个开了挂的阿修罗蓝永远用不完技能还没有冷却~~我喜欢！ （本人手贱，系统的重要...

11年前 (2014-02-12) 8473浏览 2评论

Here’s a challenge, root this box. We found a vulnerable machine named Hackademic RTB1. The main challlenge is to root the bo...

11年前 (2014-02-11) 1860浏览 0评论

介绍 随着智能手机的使用人群越来越广泛，基于二维码的应用也越来越多。今天，就和大家聊一聊二维码吧。 二维码是在一维码的基础上扩展出的，具有可读性的条码，使用黑白矩形图案表示二进制数据，被设备扫描后可获取其中所包含的信息。 一维码是只在横向记录数据，...

11年前 (2014-02-11) 1609浏览 0评论

二维码又称QR Code，QR全称Quick Response，是一个近几年来移动设备上超流行的一种编码方式，它比传统的Bar Code条形码能存更多的信息，也能表示更多的数据类型：比如：字符，数字，日文，中文等等。这两天学习了一下二维码图片生成的相...