本文紧接密码学的100个基本概念(上),带来目录中后五章的密码学基本概念,希望小伙伴们能通过本文了解密码学的基本概念,为以后深入密码学打下基础。0目录一、密码学历史二、密码学基础三、分组密码四、序列密...
移动安全入门之常见抓包问题二
证书绑定概述证书绑定即客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接。浏览器其实已经这样做了,但是如“前面”所说,选择权交给了用户,且浏览器...
APT是如何杜绝软件包被篡改的
0x00 简介 在上一篇文章中,我们介绍了传统包管理器、新型包管理器的工作方式,其中用了大篇幅介绍 APT 包管理器,但是没有对安全人员比较关心的软件包校验问题进行介绍这篇文章主要介绍 APT 是如何...
影子凭证 滥用密钥信任帐户映射进行帐户接管
什么是 PKINIT?在 Kerberos 身份验证中,客户端必须在 KDC为其提供票证授予票证 (TGT) 之前执行“预验证”,该票证随后可用于获取服务票证。预认证的原因是,没有它,任何人都可以获得...
CTF_RSA解密学习
CTF_RSA解密学习00X00 、先看了一边李永乐老师的视频https://www.bilibili.com/video/av26639065/00X01、对称、非对称算法了解对称算法,加解密双方使...
研究人员悄悄破解 Zeppelin 勒索软件密钥
©网络研究院彼得是一家技术制造商的IT经理,该制造商在2020年5月受到了一种名为“Zeppelin”的勒索病毒的攻击。他上任不到六个月,由于他的前任的设计方式,公司的数据备份也被 Zeppelin ...
今天“马斯克”竟然对我进行钓鱼诈骗啦!
早上打开推特,看到通知栏有新消息,于是打开一看,心中一喜,想不到前天刚刚关注马斯克,就成为幸运观众了,世界首富果然慷慨。但仔细一看,不太对劲啊!这个可是截图啊。发消息的不是马斯克呀?看一下这人的信息,...
2022HashRun安全团队祥云杯wp
这次比赛没有挂团队名,因为我们都害怕打不好给团队丢脸,当时都抱着爆0的心态去打的此次参加比赛的师傅平均年龄19HashRun安全团队-CTF组HaveFun@T4x0r注册一个admin账号发现页面会...
原创 | 一文帮你解决APP抓包难题
点击蓝字关注我们前言在日常渗透过程中我们经常会遇到瓶颈无处下手,这个时候如果攻击者从公众号或者APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,...
文件读取漏洞后的深入利用姿势(建议收藏)
当我们遇到任意文件读取漏洞的时候,我们需要考虑如何通过这一个小点去扩大我们的成果,达到最大化利用的目的。本篇文章主要介绍了一些在我们拿到任意文件读取点后的深入利用姿势,希望对大家能有所帮助。来源作者l...
渗透测试从 RCE 到 SSH 登录 | 新情报
前言我边在渗透测试中,拿到 webshell 后执行命令总会碰到很多不便,而使用 ssh 登录则会方便许多。相比使用 webshell 工具执行命令,ssh 连接可以有命令提示、路径补全、支持二次交互...
PKI基本原理概述
点击蓝字关注我们 在商用密码应用方案的设计和研讨中,证书相关内容几乎在每个方案中都要碰到。在日常工作讨论中,密小白发现,PKI是一个让不少人感到困扰的概念,公钥、证书、CA和PKI的含义是什么,他们之...
6