信息收集 1.站长之家获取域名的 whois 信息,获取注册者邮箱姓名电话等。 网站(中间件、版本) 2.通过站长之家、k8 等查询服务器旁站以及子域名站点,因为主站一般比较难, 所以先看看旁站有没有...
08月01日19 views评论信息收集
端口
漏洞总结
08月01日19 views评论信息收集
端口
08月01日19 views评论信息收集
端口
攻防演练中的探测内网可达网段 踩坑
现实攻防中的探测内网可达网段 踩坑 前言 这个可谓是整个阶段里面做的最大的一件错事,或者说是自己踏入了陷阱,队友提醒之后我才反应了过来。 我在进入内网后,我当前控制的服务器ip段为10.10.x.0/...
07月23日27 views评论互联网
内网
网络安全利器HTTPS加密SSL证书
网站的访问形式一般有两种,一种是通过域名访问,一种是通过IP地址访问,想要实现HTTPS加密,就需要用到2种不同的SSL证书,即域名SSL证书和IP SSL证书。 IP证书是什么?IP证...
07月23日12 views评论ip
网络安全
为什么自签名证书不可信
SSL 证书验证过程服务器在本地生成私钥和公钥对,并创建CSR(证书签名请求)。CA 收到 CSR 后进行验证,然后颁发证书。此证书包含服务器的公钥、颁发者信息、公司信息、到期日期和数字签名(即 CA...
07月14日16 views评论数字签名
证书
资产几何?现代组织的外部攻击面
工作来源 ASIA CCS 2024 工作背景 CISA 在 2022 年要求对政府的 IT 系统进行漏洞扫描,英国国家网络安全中心(NCSC)在 2022 年也计划扫描英国互联网连接的系统漏洞。由于...
07月12日23 views评论ip
电子邮件
抓取微信小程序流量数据的方法(超简单)
最近疯狂遇到有人问小程序抓包。。。fiddler+burp的联动实现对电脑端小程序数据包的抓取1.先完成了burp端的配置端口的配置浏览器设置代理证书安装访问http://burpsuit/cert或...
07月05日15 views评论burp
小程序
Android App漏洞之战(17)——验证码漏洞挖掘详解
一、前言验证码漏洞也是当下十分常见的APP端漏洞,本文对验证码漏洞原理做了一个初步的讲解,并复现了当下一些常见的验证码相关的漏洞,本文App抓包技术参考了肉丝大佬的书籍安卓Frida逆向和抓包实战 本...
07月04日38 views评论漏洞挖掘
证书
MuMu模拟器Frida 逆向某颜色APP实战
免责声明:由于传播、利用本公众号SSP安全研究所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号SSP安全研究及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告...
07月04日61 views评论burp
证书
强对抗的SquidLoader针对中国企业发起攻击
研究人员近期发现了一种高对抗强度的 Loader,其通过钓鱼邮件附件传递给受害者。根据恶意软件所具备的引诱和规避行为,研究人员将其命名为 SquidLoader。SquidLoader 最早在 202...
07月02日10 views评论loader
样本
内网渗透之巧用ADCS进行权限维持
文章前言本篇文章主要介绍如何通过证书服务来实现权限维持的目的基本原理在微软的文档里有一段话"当使用PKCA时,KDC在权限属性证书(PAC)中会返回用户的NTLM",也就是说当使用证书进行Kerber...
05月30日17 views评论ntlm
证书
抓不到包?不可能(上篇)
原文:https://www.52pojie.cn/thread-1809966-1-1.html了解了HTTPS的传输流程,再来了解一下抓包相关知识。一、前置知识默认你了解了HTTPS中间人攻击的流...
05月19日7 views评论加解密
证书
全平台系统开源免费抓包软件network_proxy_flutter
来自:OS开源社区,作者:怎么能够链接:https://www.oschina.net/news/250982免费开源 Http、Https 抓包工具,支持 Windows、Mac、Android、I...
05月19日17 views评论开源
系统
25