PHP伪协议在CTF中经常出现,也经常跟文件包含,文件上传,命令执行等漏洞结合在一起,所以本文章对常见的一些协议进行总结。文件包含是否支持%00截断取决于:PHP版本<=5.2 可以使用%00进...
15万摄像头遭入侵,特斯拉上海仓库也中枪,只因管理员密码就发在网上
一群黑客攻击了15万个摄像头。受害者包括特斯拉,世界各地的医院、学校、警察局,还有提供这些摄像头的公司自己。被曝光的画面中包括特斯拉在上海的仓库,黑客团体声称,他们掌握了222个来自特斯拉各地工厂和仓...
企业微信Secret Token利用思路
在一次渗透过程中,获得了一台服务器的主机权限,但是提权未果。不得已只能翻一下主机上面的文件,看一下有没有什么可以利用的地方。在其中一个网站源码里面,翻到了这么一段代码<add name="Cor...
好久不见,你有没有想念?
今天主题很明白安全圈子出现了一个靠老婆吃饭的男人某个男人昨天晒了由他夫人做的口红今天晒了他夫人买给他的RTX3060现在内部都是某个人不要脸的晒照阶段(坚决不承认我嫉妒了)所以今天我绑架了这个不要脸的...
北约机密云平台疑遭黑客入侵:政治目的、威胁要把数据发给俄罗斯
关注我们带你读懂网络安全据泄密披露平台DDoSecrets接到线报称,北约机密云平台的重要供应商Everis遭网络攻击,与云平台相关的重要代码、文档等数据全部失窃,攻击者声称有能力植入后门,勒索超10...
sql注入绕过方法总结
前言 SQL在CTF每一次比赛中基本上都会出现,所以有了这一篇总结,防忘,最后更新于2018/10/11。 简而言之...
恶意流量分析训练五
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。本次任务需要你查出主机受感染...
安全之红蓝对抗简介
什么是红蓝对抗在军事领域,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演黑客(蓝军),一方扮...
【Linux专栏】推荐 22 款好用的命令行工具
来自公众号:架构头条作者 :switowski,策划 :万佳原文链接:https://switowski.com/blog/favorite-cli-tools#mas作者根据多年的终端使用...
【内网渗透】内网信息收集命令汇总
学习整理了一些资料,一直想发来着,奈何自己太lan后续会慢慢分享给大家1)查询网络配置详细信息ipconfig /all2)获取操作系统和版本信息systeminfo | findstr /B /C:...
Web安全:点击劫持
点击劫持又称为UI覆盖攻击。这类攻击利用了HTML中<iframe>等标签的透明属性来诱使用户在不知情的情况下,点击内嵌在原始网页中的透明网页。此刻,透明网页中的恶意代码自动运行,对用户的...
浅谈入侵溯源过程中的一些常见姿势
本文来源:乌云安全 si1ence0x0 背景攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的...
147