首页 技术分享
技术分享

技术分享

记录一次攻防演练中的代码审计(突破)

第一天在一次授权的攻防项目中,我和我的一个好兄弟在渗透过程中发现一个目标存在mssql注入,通过注入拿到了管理员的账号和密码当时我和我的好兄弟高兴坏了,迫不及待的把拿到的数据进行解…

PHP的webshell免杀小结

普通的一句话木马(适用于CTF和小站) <?php eval($_POST['a']); ?> //函数的相似替换 <?php assert($_POST['a'…

冰蝎4.0特征分析及流量检测思路

冰蝎4.0介绍这是冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。 老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实…

2022-10-25 74

五种不寻常的身份验证绕过技术

这是身份验证绕过漏洞是现代web应用程序中普遍存在的漏洞,也是隐藏最深很难被发现的漏洞。为此安全防护人员不断在开发新的认证方法,保障组织的网络安全。尽管单点登录(SSO)等工具通常…

Linux应急处置/信息搜集/漏洞检测工具

这是Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Webshe…

渗透测试中登录框骚操作总结

由于测试过程中很多系统我们能接触到的只有一个登陆界面,所以要充分挖掘漏洞,进行深入操作 登录 注册 万能密码绕过登录 存在 SQL 注入的情况下,有可能使用万能密码直接登录 adm…

实战|记一次Shiro遇到的坑

客户授权的一次实战! 当接到任务的时候进行了简答的信息收集没想到很快找到了入口点,通过指纹识别看到了使用的是Shiro框架,使用飞鸿大佬的工具测一下。   结果还真的有,感觉美滋滋…

网站被入侵后的应急响应实战

1.日志分析 访问入侵者ip:192.168.123.1 先利用notepad将日志筛选,选择出自己想要的部分,然后分析 1)扫描网站 [27/May/2019:15:50:07入…

攻防红队:弱口令yyds之拿到数据库权限

红队最重要的就是前期打点,打点快得分快。尤其是弱口令,往往可以出奇制胜, admin/admin、admin/123456、admin/admin123这样的弱口令比比皆是。利用弱…

2022-10-25 61

2022年全球白帽常用工具排行榜TOP 10

虽然此时还未到2022年年底,但并不妨碍我们整理一份2022年全球白帽常用的工具榜单,希望能给白帽们和企业安全人员们带来一定的借鉴和参考。部分常用的工具使用视频教程及安装包,可上方…

2022-10-25 64

冰蝎WebShell免杀生成(附下载)

本工具仅限授权安全测试使用,禁止非法攻击未授权站点 ✴️文件MD5值校对 文件:ByPassBehinder.exe MD5 HASH:04caea5648786157fb65dd…

攻防对抗之红队那些事儿

今天我们就来聊一聊,攻防对抗中的红队都有哪些常用攻击方法及手段。 红队 一般在攻防对抗中攻击方为红队,通常红队成员的能力都较为全面:从信息收集、打点、横向渗透、免杀到钓鱼、社工等,…

2022-10-25 50
1 2 3 5