安全知识

admin 12年前 (2013-07-28) 7565浏览 0评论

一、注入时，如果注入权限够大，通过sqlmap可以获取到os-shell，这时，如果知道网站路径的话，就可以通过命令将webshell写入到网站目录下，这样就获取到webshell了。 利用命令注入写一句话php webshell到web目录涉及到一...

admin 12年前 (2013-07-28) 2028浏览 1评论

说到社工库，现在很流行，数据也越来越庞大、详细，其威胁程度日愈严重。 其中威胁最高的就属密码库了，也是数量最大，影响范围最广的。 密码库主要来源就不说了，各种拖库…… 其中密码形式主要分这几种： 第一种是未加密的明文密码，威胁程度最高。（不得不说这...

admin 12年前 (2013-07-24) 2162浏览 0评论

夜火以前发过120G彩虹表HTTP下载，但是一直不清楚那么庞大的数据，怎么会那么快的原理，特转来一篇彩虹表的原理简介。 彩虹表的原理简介 彩虹表（Rainbow Table）是一种破解哈希算法的技术，它的性能非常让人震惊，在一台普通PC上辅以NVid...

admin 12年前 (2013-07-24) 2825浏览 1评论

近日需要不同的编码，关于上述编码,一直迷迷糊糊,查了些资料,总算大致了解了, 下面全是从网上搜来的： 1.  ASCII和Ansi编码 字符内码(charcter code)指的是用来代表字符的内码.读者在输入和存储文档时都要使用内码,内码分为 单字...

admin 12年前 (2013-07-22) 1908浏览 1评论

前几天恰巧碰到不算是题目的题目吧，涉及到Win与Linux的系统密码存放问题。这里总结一下两个系统下密码加密保存方式。 Windows： SAM文件一般存放在C:\Windows\System32\Config下，存在LM-Hash与NT-Hash两...

admin 12年前 (2013-07-22) 1514浏览 0评论

1、写此文的原因 最近出现的“棱镜”事件，加上之前密码泄漏事件，这大大的增加了我们在互联 网上的安全问题，尤其对我们来说重要的一些账户和密码，如果一旦泄漏出去，那么对我们造成的损失会很大，很严重。网络上也有因为密码泄露而引发的连带的问 题。我们需...

admin 12年前 (2013-07-08) 2020浏览 0评论

这两天要处理一些数据，用一些数据库管理工具比如navicat for mysql 、 sqlyog、以及phpmyadmin之类的工具，试了很多，发现都导入不全， 蛋碎了，最后还是选择写SQL语句来搞吧，mysql里面有个load data infi...

admin 12年前 (2013-07-08) 1355浏览 0评论

利用微信“附近的人”功能，连续变换3次以上位置，再辅以电子地图，就能定位出其他微信用户在哪儿！记者试验确认这一网络传言属实，并请数学专家解读其中的原理。 本市已发生多起因微信定位引发的犯罪，其中发生在朝阳区的最多。记者将试验报告交给朝阳法院，受到关注...

admin 12年前 (2013-07-07) 1575浏览 0评论

核心总结：php-fpm/apache 进程所使用的用户，不能是网站文件所有者。 凡是违背这个原则，则不符合最小权限原则。 根据生产环境不断反馈，发现不断有 php网站被挂木马，绝大部分原因是因为权限设置不合理造成。因为服务器软件，或是 php 程序...

admin 12年前 (2013-07-07) 1204浏览 0评论

来源：本站转载 作者：佚名 时间：2011-08-27 TAG：   昨晚黑锅在微博上发了老外爆的Nginx漏洞，开始并没几个人关注，小我马上架环境测试验证了，我人品好随手在网上试了两个网站也验证了这个漏洞，于是乎马上就在微博上传开了。 ...

admin 12年前 (2013-07-03) 2130浏览 4评论

转自乌云知识库：http://drops.wooyun.org 2013/06/19 18:54 | 瞌睡龙 | 漏洞分析 | 占个座先 URL格式： scheme://[login[:password]@](host_name|host_addr...

admin 12年前 (2013-06-30) 1620浏览 0评论

互联网中充斥着无数个链接，我们每天上网所做的事情，就是点开一个链接，跳转到另外一个链接。可你知道你点开的这些链接在背后里都做了些什么见不得 人的事情么？   国内的大多数网民,都习惯了腾讯为他们做好的大局域网，用QQ聊天、用QQ邮箱收发邮件...

admin 12年前 (2013-06-30) 12236浏览 0评论

VPN真的安全吗？说起这个话题，读者们可能就要和GFW,翻墙联系在一起了。在没有确切实验和证据之下，我还是相信VPN是一款不错的安全产品， 毕竟他是走的加密通道。但是今天发现的一件事让我对此稍有恐惧，在信息安全如此重视的年代，vpn这个号称加密隧道也...

admin 12年前 (2013-06-28) 1995浏览 0评论

常见的服务器溢出提权方法 作者：admin 发表于：2012-06-16 　 点击：3,004 0×00 前言 0×01 找可写目录 0×02 运行exploit提权 0×03 附录 0×00 前言 溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把...

admin 12年前 (2013-06-28) 2453浏览 0评论

大家都知道有的上传程序会重新绘图来验证图片的合法性，如果不能绘图则视为非法文件，所以我们用CMD的copy命令中的/b参数来把马和图合并成一个文件，今天教你一招不用CMD命令一秒钟制作传说中的图片木马！only a tag~ 看图即可 图片一句话木...

admin 12年前 (2013-06-28) 1410浏览 0评论

收集了一些利用Sqlmap做注入测试的TIPS，其中也包含一点绕WAF的技巧，便于大家集中查阅，欢迎接楼补充、分享。 TIP1 当我们注射的时候，判断注入 http://site/script?id=10 http://site/script?id=...

admin 12年前 (2013-06-27) 16289浏览 23评论

本文首先阐述了人们关于统一资源定位符（URL）编码的普遍的误读，其后通过阐明HTTP场景下的URL encoding 来引出我们经常遇到的问题及其解决方案。本文并不特定于某类编程语言，我们在Java环境下阐释问题，最后从Web应用的多个层次...

admin 12年前 (2013-06-26) 1373浏览 0评论

该漏洞主要是未对网络图片的合法性进行检查，就直接放入img标签的src属性中，导致漏洞产生。目前网络上大部分网站都使用类似的方式处理网络图片，帖子主要以discuz做为例子。 目前影响discuz所有版本，我不会告诉你freebuf也可以这样搞的！ ...

admin 12年前 (2013-06-11) 1643浏览 0评论

有一点我们必须承认，大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机 制。我们先简单的了解一些http的知识，从而理解该协议的无状态特性。然后，学习一些关于cookie的基本操...