• China黑客娱乐圈现状曝光,真相让人厌恶!

    首先,我先声明,此篇文章并没有故意针对某个人或某个团队,如果此文中列举事件与你所在“家族”情况相似,纯属巧合。 从补天到CTF,从漏洞银行到病毒播报,中国黑客正以一个惊人的速度崛起,大有超过匿名者的趋势,正是在他们的领导下,一大批黑客团队也在华夏大地上建立。他们,构成了当今中国黑界的大体框架,但也留下了无穷的麻烦事。 中国黑客娱乐圈,经过好几代人的努力不断开…

    3天前 355 2
  • 记一次IIS劫持处置

    晚上十一点四十,刚准备休息,收到朋友电话,其一个站点被入侵篡改,导致某web接口异常,帮忙远程处理。 D盾一把梭: 网页篡改、服务器入侵类事件处理了几年,第一反应是服务器被提权,中了后门,占用CPU、内存等资源,导致站点无法工作。 对方管理员登录服务器后,TV链接到管理员电脑,查看为2008R2系统,采用IIS7.5作为web服务,web为.net4.0开发…

    4天前 37 0
  • 挖洞经验 | 在密码重置请求包中添加X-Forwarded-Host实现受害者账户完全劫持

    今天分享的这篇Writeup为作者通过利用目标网站“忘记密码”功能,在重置密码请求发包中添加X-Forwarded-Host主机信息,欺骗目标网站把重置密码的链接导向到自己的服务器,从而实现对受害者账户的完全劫持。 这里,基于保密原因,先假设目标测试网站为redacted.com,在对其测试过程中,我把重点放到了它的“忘记密码”功能处。经过了6个小时的折腾,…

    渗透测试 4天前 30 0
  • Go语言代码安全审计分享

    前言 Go语言主要用作服务器端开发语言,适合于很多程序员一起开发大型软件,并且开发周期长,支持云计算的网络服务。Go语言能够让程序员快速开发,并且在软件不断的增长过程中,它能让程序员更容易地进行维护和修改。Go语言是强类型语言,它融合了传统编译型语言的高效性和脚本语言的易用性和富于表达性。 由于Go语言代码审计资料较少,这里就把最近学习的对Vulnerabi…

    黑客技术 4天前 71 0
  • 手把手带你利用SQLmap结合OOB技术实现音速盲注

    一、概述与使用场景 1.1为什么写这篇文章? 在一次注入过程中,发现目标站点存在“基于时间的SQL盲注漏洞”。然而在注入过程中即使网络条件不错、用了sqlmap神器,然而一顿饭的时间过去了连表名竟然都还没注完,效率让人十分崩溃。 后面又使用OOB(out of band)带外通信技术,结合DNSlog平台进行手注。速度是略微有点提高,但是还是觉得应该有更好的…

    黑客技术 4天前 25 0
  • 【网页抓包】渗透测试神器 BurpSuite pro 2.1.07最新版

    Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据…

    神兵利器 4天前 41 1
  • 漏洞及渗透练习平台 【大全】

    漏洞及渗透练习平台 【大全】 WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable WebApplication(漏洞练习平台) https://github.com/RandomStorm/DVWA…

    网络安全 4天前 244 4