文章列表
这是一篇“不一样”的真实渗透测试案例分析文章
# 0x00 前言本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点
恶意软件Trickbot, Emotet使用新型冠状病毒的新闻来逃避检测
TrickBot 和 Emotet 木马开始试图通过添加新型冠状病毒的新闻服故事逃避基于人工智能和机器学习的安全软件。在之前的钓鱼活动和其他攻击中,攻击者通常利用一种叫做加密器(Crypter)的程序来混淆或者加密恶意代码。这样做是希望可以让恶意软件看起来无害进而达到完全免杀的效果。这种做法对特别适用于
记一次实战access注入绕过安全狗
网站存在注入点地方当时测试了布尔盲注,发现有安全狗waf对其fuzz一波,发现数据库时access数据库由于access数据不能使用注释,并且没有数据库,幸好是安全狗,绕过方法如下因为安全狗是对整段url进行检查,发现aa参数和bb参数包裹的是注释所以放过其他页面也存在注入点跑sqlmap,因为sqlmap对*敏感,
Win10最新“蠕虫级别”高危漏洞说明及临时防御措施
3月10日,微软官方发布一条安全警报(ADV200005),称发现Windows系统中存在一个远程代码执行漏洞(即CVE-2020-0796),该漏洞发生于Windows系统在处理SMBv3协议的某些特殊请求时,利用该漏洞可以在目标SMB服务器或SMB客户端上执行任意代码。(微软官方警报) 1、 漏洞危害及影响范围 攻击者利用该漏洞
偶然发现存有2.5个比特币的钱包密码,是馅饼还是陷阱?
假设你收到一条短息,说你中奖30万,不过要先交3000块的税,你肯定毫不犹豫就删了短信,因为这是非常明显且老套的骗局。那现在换一个场景,你上网的时候无意间发现了一个比特币在线钱包的账号密码,里面有2.5个比特币(按现在暴跌的行情,也还值将近10万人民币),你可以直接提现。不过为了账户资金安
专访xuehei:一位T00ls论坛的老会员【T00ls人物专访第十一期】
如果你是T00ls论坛的老人,或者是经常逛论坛的新人。你一定对于xuehei这个ID不会陌生,毕竟他是一位混迹论坛11年的坛友。他今年三十多岁。二十岁的年纪是人生最潇洒快意的时代了。幸运的是,这十年也是中国网络安全高速发展的十年。这十年也是T00ls论坛成熟的十年。十年以上的网络安全从业者,至今还在
研究发现数以千计的指纹文件暴露在不安全的数据库中
研究人员周三说,数千份指纹记录被暴露在一个不安全的数据库中。研究人员周三说,一个包含约76000个独特指纹记录的网络服务器被暴露在互联网上。这些不安全的指纹数据,以及员工的电子邮件地址和电话号码,都是由巴西公司Antheus Tecnologia收集。该数据库包含近230万个数据点,其中大部分是服务器访问
微软发布紧急安全更新:修复 SMBv3 协议漏洞
在本月的补丁星期二活动日上,微软对所有受支持的Windows 10系统发布了累积更新,并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间,网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞,为此今天微软发布了紧急更新对其进行了修复。 该协议允许计算机上的应用程序读取文件,以及向
【娱乐】看VA我从来不付费
# 看VA我从来不付费从“漏洞挖掘的逻辑”去绕过付费限制,免费观看“国产”、“高质”、“收费”的爱情动作片。## 前言(扯淡)最近,各类“爱情动作片网站”重现江湖,各类“诱导性”推广,本着“首席鉴(chui)黄(niu)举报师”的这个头衔,当然是选择一个一个点开截图然后举报咯。## 收费(WTF?)
