seo

2021-04-12hush阅读(16)赞(0)

攻击者在入侵网站后，常常会通过恶意劫持流量来获取收益，从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防，正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。 我们可以按照基于不同隐藏目的的常见劫持手法，来做一个简单...

2021-03-16hush阅读(65)赞(0)

BloodHound是一款将域内信息可视化的单页的web应用程序，攻击者可以使用它来轻松识别高度复杂的攻击路径，同样的，防御者可以使用它来识别和消除那些相同的攻击路径。 github项目地址： https://github.com/Bloo...

2021-03-08hush阅读(61)赞(0)

Getshell分为进管理员后台Getshell和不进后台Getshell，本文主要总结常见进后台Getshell和部分。 进后台Getshell 01 管理员后台直接Getshell 管理员后台直接上传Getshell，有时候带密码的We...

2021-03-03hush阅读(292)赞(0)

大家进行网站日志分析的时候，常见到很多不同IP段的百度蜘蛛，为了方便大家更好的进行日志分析，下面列举了百度不同IP段常见蜘蛛的一些详情情况，及所谓的降权蜘蛛，沙盒蜘蛛，高权重蜘蛛等等。 众所周知，百度蜘蛛爬虫对于网站SEO有很好的索引和帮助...

2021-01-15hush阅读(120)赞(0)

背景 最近被一个同学问起OAuth2.0，才发现有不少人对OAuth2.0一知半解，没有去真正了解过，更不用提如何从OAuth2.0授权认证中去挖掘漏洞了。老洞新谈，OAuth2.0协议本身是没有问题的，而关于OAuth2.0的漏洞大多是一...

2020-12-31hush阅读(88)赞(0)

注意：将目标称为Redacted.com 工具：burp suite 概念证明： 1.注册一个新帐户 2.按照说明进行操作，然后我得到此页面： 3.所以我得到了这样的网址： https://redacted.com/user/activat...

2020-12-27hush阅读(91)赞(0)

0x00 前言 看到了某篇关于站库分离类型站点相关的讨论，想总结下信息收集的技巧。 0x01 正文 关于站库分离类型站点网上暂时没有找到总结性的文章，所以想尝试记录下关于站库分离类型站点的渗透思路。 对站库分离类型站点通常可以有两个渗透入口...

2020-12-16hush阅读(182)赞(0)

问题描述 访问站点只要后面目录带Fkj（不管是文件还是目录），就会判断请求头，如果为手机移动端的请求头,就会跳转博彩网站，如果是电脑浏览器，就会弹空白页访问站点只要后面目录带Fkj（不管是文件还是目录），就会判断请求头，如果为手机移动端的请...

2020-12-02hush阅读(161)赞(0)

先admin尝试 其实当我在浏览网站的最下方时，我看到了这一信息。我的大脑就浮现出了一个0day，应该泛滥了！但我打算发出来 http://url/admin 尝试一下运气 看到这个后台更加确定了我内心的想法，这是有0day可以利用的！ 一...

2020-10-13hush阅读(142)赞(0)

在攻击结束后，如何不留痕迹的清除日志和操作记录，以掩盖入侵踪迹，这其实是一个细致的技术活。你所做的每一个操作，都要被抹掉；你所上传的工具，都应该被安全地删掉。 01、清除history历史命令记录 第一种方式： （1）编辑history记录...