枚举客户端配置 客户端配置信息(如操作系统和 web 浏览器)以及其他信息(如版本或语言)通常作为 web 浏览通信的一部分进行传输。这可以通过多种方式来实现,包括使用被攻击的 web 站点来收集访问...
网络安全-CDN绕过小结
CDN原理CDN全程内容分发服务,本质上是为了给不同地区的用户提供加速访问服务,就近选取节点,但是由于他所提供服务的性质,CDN也可以用来减少服务器压力,隐藏真实ip我们想要获取到服务器的真实ip,就...
站库分离取证手册:服务器镜像、数据库配置及网站还原指南
前言 在数字化时代,技术持续进步使得网站的架构和部署方式不断演变。站库分离,作为一种新型的架构方式,已被众多大型企业所采纳,旨在提升数据的安全性。然而,这也给取证领域带来了新的挑战:如何快速而准确地对...
WordPress 插件 LiteSpeed 漏洞影响500万个站点
WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。 Pat...
网络安全等级保护:VPN基础技术
VPN基础技术 为了实现其目的,VPN 必须模拟直接网络连接。这意味着它必须提供与直接连接相同级别的访问和相同级别的安全性。为了模拟专用的点对点链路,数据被封装或包装,并带有提供路由信息的标头,允许数...
实战 | 公益SRC上分技巧
本文由掌控安全学院 - 杳若 投稿 前言 漏洞挖掘有时候换几个思路,事半功倍 下面讲解一些很简单,但是实用的思路 案例一、若依系统配置不当 讲解了这么多系统,兜兜转转又回到了若依 其实最早的若依系统,...
渗透实战---完整收集信息以扩展实战攻击面
目录 0x00 前言0x01 外部_收集信息 0x02 内部_收集信息 0x03 总结 通过两个实战例子,分别以外部和内部为例,展示收集信息的重要性,通过收集完备信息,最大化扩展渗透攻击面 0x00 ...
实战SRC | 某站点后台管理系统SQL注入
本文由掌控安全学院 - 会唱会跳会敲键盘 投稿 对于edu来说,是新人挖洞较好的平台,本次记录一次走运的捡漏0x01 前景 在进行fofa盲打站点的时候,来到了一个后台管理处看到集市二字,应该是edu...
FBI围剿ALPHV勒索软件组织遭反攻
本周二12.19,美国司法部宣布FBI成功捣毁了ALPHV(BlackCat、黑猫)勒索软件组织的服务器,并通过前期监控缴获了大量解密密钥。但ALPHV发动反攻并声称FBI的围剿给数千个受害者带来了灾...
攻击者如何使用已删除的云资产来对付你
我们正处于云计算时代,虚拟服务器和存储空间等资源通常根据需要通过部署脚本以编程方式进行配置。虽然启动此类资产几乎是一个即时过程,但在不再需要它们时删除它...
攻防|记一次日志泄露到GetShell
在一次攻防演练中,遇到这么一个站点 该站点基于ThinkPHP框架开发,且存在日志泄露,故事就从这个日志泄露开始了 信息收集 1. 老话说的好,渗透的本质就是信息收集,而信息搜集整理为后续的...
记一次日志泄露到GetShell
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...