首页 » 标签云 » 包含标签 漏洞 的文章

  • Kali环境使用Metasploit生成木马入侵安卓手机 2017-10-02 00:22
    Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出...
  • 如何突破Windows环境限制打开“命令提示符” 2017-09-29 01:32
    如今,许多企业或组织都会通过使用受限的windows环境来减少系统表面的漏洞。系统加固的越好,那么也就意味着能被访问和使用到的功能就越少。我最近遇到的情况是,一个已经加固的系统同时受到McAfee Solidcore的保护。Solidcore几乎阻止用户对系统任何的更...
  • Kali渗透套件:ATSCAN,功能强大的Perl脚本扫描器 2017-09-07 00:46
    使用perl语言编写的开源的扫描器,功能丰富强大,除了基本的tcp和udp端口扫描之外,还可以搜索wordpress、joomla等网站并进行口令猜解等攻击。描述:ATSCAN version6.3 搜素引擎 XSS扫描器 sqlmap 本...
  • Kali下使用SQLmap工具对网站进行渗透测试检测 2017-08-24 02:50
    [v_notice]sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,日前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNIO...
  • 黑客的探路狗ReconDog网站信息探测收集工具 2017-08-23 11:49
    前言:[v_notice]Recon Dog是您所有基本信息收集需求的工具的集合。它使用API​​来收集所有信息,以使您的身份不被暴露。 这个想法很不错,大家可以试试,如果手头里有资源可以尝试购买一台vps去搭建一些这样的站点[/v_notice]工具下载地址:h...
  • Fuzzer可自由扩展编写Exp网站漏洞扫描工具 热评 2017-08-10 18:13
    首先感谢Ws对本站的投稿这里有个南方站点:www.gu*******na.com这个站点存在一个很老的南方的EXP,我发一下这个EXP:[crayon-59edc6edb60d0422937767/]EXP漏洞文章说明:<南方数据企业0day漏洞爆后台密...
  • IBM Security AppScan Standard 9.0.3官方最新破解版 热评 2017-06-22 03:19
    IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-i...
  • 安全厂商针对Wannacry勒索蠕虫响应与处置方案汇总 2017-05-16 13:01
    一般来说,影响力最大的事物并不是最牛掰的事物——这件事可以反映到周末爆发的WannaCry勒索软件身上。WannaCry可以说是史上影响、危害最大的勒索程序没有之一了,它在爆发后的几个小时内攻击99个国家近万台设备,在大量企业组织和个人间蔓延,从MalwareTech的数据来...
  • 方程式Eternalblue远程溢出漏洞复现:附443端口利用工具 热评 2017-05-12 05:27
    最近方程式的漏洞着实火了一把,根据网友的需求分析了下githup上面的文件目录,找到了利用文件,主要是针对windows主机的SMB、RDP协议进行攻击,因为我主要根据他们提供的payload的程序,利用这两个模块eternalblue和Doublepulsar可以对...
  • PHPcms9.6.0最新版任意文件上传漏洞可直接getshell 热评 2017-04-13 03:26
    对于PHPcms9.6.0 最新版漏洞,具体利用步骤如下:首先我们在本地搭建一个php环境,我这里是appserv或者使用phpnow (官网下载地址:http://servkit.org/)(只要可以执行php文件就行)在根目录下新建一个tx...
  • 北极熊扫描器4.4企业版发布,无需过多介绍的安全工具 2017-03-27 21:28
    [v_notice]软件已经开发了差不多4年了,2013年中旬至今,没想到竟然积攒了那么多的围观群众耶?![/v_notice]更新说明: 更换了网段扫描的核心代码,删除了多余代码,减少多线程引起的软件崩溃问题 增加了域安全,可对域用户进行安全检测,密...
  • SQL注入之SQLmap入门资料及注入使用方法 热评 2016-12-18 01:52
    什么是SQLmap?[v_notice]SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。[/v_notice]读者可以通过位于SourceForge...
  • 京东千万条数据泄露?京东回应系2013年漏洞所致 热评 2016-12-12 00:50
    昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等消息。不过密码经过了MD5加密。一本财经在报道中提到:[v_notice]“一些地下渠道,开始对数据进...
  • BurpSuite基础教程之基本介绍及环境配置 2016-12-03 15:43
    BurpSuite简介与介绍:请参考百度百科或https://www.exehack.net/tag/burp-suite简单理解即:[v_notice]Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试...
  • AWVS10.5网站安全扫描官方WEB最新版+破解补丁 热评 置顶 2016-12-01 02:12
    AWV是一款网络漏洞扫描工具。通过网络爬虫测试你的网站安全,检测流行的攻击 ,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描、查看目录结构、表格、安全区域和其他Web应用程序。75% 的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火...
  • 渗透测试神器Burp Suite v1.7.08发布(含下载) 2016-11-28 17:12
    众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。 拦截代理(Proxy),你可以检查和更改浏览器与目标应用程序间的流...
  • Linux下使用Nginx详细配置HTTPS方案 2016-11-24 15:34
    我一度以为只要可以通过https访问网站SSL就算配置完成了,但前几天网友反馈说移动设备下出现证书错误,我还以为是刚配置完缓存的原因,后来自己查了一些资料,发现虽然自己的网站可以通过https访问了,但还有一些参数没有配置,造成了一些旧设备上出现证书错误。通过下面这个...
  • 网站渗透攻防Web篇之SQL注入攻击高级篇 热评 2016-11-16 01:57
    前言前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御。有攻必有防,当然还要来探讨一下SQL注入防御技巧。网站渗透攻防Web篇之SQL注入攻击初级篇网站渗透攻防Web篇之SQL注入攻击中级篇第五节 ...
  • 网站渗透攻防Web篇之SQL注入攻击中级篇 热评 2016-11-16 01:44
    前言回顾前文:网站渗透攻防Web篇之SQL注入攻击初级篇找到SQL注入漏洞后,我们可以用它来干什么呢?那么本篇文章给大家带来的就是SQL注入漏洞利用技术,现在是时候让我们去体验一下漏洞利用的乐趣了。正文第三节 利用SQL注入3.1、识别数据库要想发动S...
  • 网站渗透攻防Web篇之SQL注入攻击初级篇 热评 2016-11-16 01:25
    前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一,这里我想问,我们真的了解SQL注入吗?看完本篇文章希望能让你更加深刻的认识SQL注...
  • PHPCMS V9 版本后台设计缺陷导致任意代码执行漏洞 2016-11-06 17:52
    0x01 背景由于默认安装后需要超级管理员权限,故该漏洞很鸡肋,但感觉应该会在其它cms中也存在,所以主要分享下挖掘思路~ PS:使用的测试环境是php5.6(已经移除gpc选项)0x02 漏洞分析漏洞起源: yoursite\phpsso_s...
  • Zabbix爆出高危SQL注入漏洞,可获操作系统权限 2016-11-06 15:24
    漏洞概述zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。...
  • 分享PHP两个有趣的特性导致waf绕过注入 2016-10-31 16:18
    1、HPP HTTP参数污染HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:user.php?id=111&id=222如果输出$_GET数组,则id的值只会取222...
  • 使用Burpsuite爆破WordPress网站后台密码 2016-10-19 01:58
    一、什么是 Burp SuiteBurp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展...
  • Discuz漏洞uc.key泄露导致代码注入的解决方法 热评 2016-09-04 10:22
    漏洞名称:Discuz uc.key泄露导致代码注入漏洞补丁编号:00090补丁文件:/api/uc.php更新时间:2016-08-23漏洞描述:在Discuz中,uc_key是UC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码...
  • Burpsuite1.7.03网站渗透神器最新破解版 热评 2016-08-29 16:30
    众所周知,Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。往期回顾:请在博客右上角搜索关键字"Burpsuite"查看所有文章平...
  • IOS曝严重安全漏洞:iPhone用户或已被监听数年 热评 2016-08-28 11:05
    iOS 9.3.5紧急上线,苹果更新日志中有提到修复了“重要安全问题”。如果你还没有更新的话,那么请尽快更新,因为这次涉及的iOS安全问题可能是“前所未有”的。苹果所指的重要安全问题乃是说3个0-day漏洞,这3个漏洞足以让攻击者对全球范围内的iPhone进行监听。L...
  • Kali Linux渗透基础知识整理(三):漏洞利用 2016-08-13 22:00
    *本文原创作者:sysorem Kali Linux渗透基础知识整理系列文章回顾漏洞利用阶段利用已获得的信息和各种攻击手段实施渗透。网络应用程序漏洞诊断项目的加密通信漏洞诊断是必须执行的。顾名思义,利用漏洞,达到攻击的目的。 Metasploit...
  • Kali Linux渗透基础知识整理(二)漏洞扫描 2016-08-07 20:21
    Kali Linux渗透基础知识整理系列文章回顾漏洞扫描 网络流量 Nmap Hping3 Nessus whatweb DirBuster joomscan WPScan网络流量网络流量就是网络上传...
  • Kali Linux渗透基础知识整理(一):信息搜集 2016-08-02 07:25
    最近要给一些新人做培训,整理些东西,算不上什么太高端的内容,只是简单的整理下了,我觉得对于小白的话也还算是干货。什么是信息收集:收集渗透目标的情报是最重要的阶段。如果收集到有用的情报资料的话,可以大大提高对渗透测试的成功性。收集渗透目标的情报一般是对目标系统的...
  • WordPress插件Jetpack存储型XSS漏洞分析及复现 2016-07-23 23:24
    五月底,WordPress母公司Automattic发布了插件Jetpack 4.0.3版本,在这个官方的WordPress论坛插件的版本中,修复了一个威胁程度较高的存储型XSS漏洞,小于4.0.3的版本都会被影响。本文通过实验复现了这个XSS漏洞,并分析其原...
  • WordPress-Mailpress远程代码执行漏洞 2016-07-16 03:06
    0x00 介绍Mailpress是一个比较流行的邮件插件。Plugin Directory:https://wordpress.org/plugins/mailpress/官网:http://blog.mailpress.org此漏洞已于2016年06月21日...
  • 网站漏洞检测挖掘的那些事儿 2016-07-12 19:25
    好像很久没发文了,近日心血来潮准备谈谈 “漏洞检测的那些事儿”。现在有一个现象就是一旦有危害较高的漏洞的验证 PoC 或者利用 EXP 被公布出来,就会有一大群饥渴难忍的帽子们去刷洞,对于一个路人甲的我来说,看得有点眼红。XD刷洞归刷洞,蛋还是要扯的。漏洞从披...
  • ImageMagick popen()命令执行漏洞及修复 2016-06-17 04:51
    前几天wooyun以及朋友圈被ImageMagick的远程命令执行漏洞(CVE-2016–3714)给刷屏了,今天又爆出了ImageMagick的另外一处命令执行漏洞。老外对漏洞的说明原文如下:All existing releases of Graphics...
  • Wfuzz:一款强大的Web Fuzz测试工具 2016-06-13 18:18
    Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。Wfuzz是一款为了评估WEB应用而生的Fuzz(F...

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥如果你有意向广告合作点击广