- 博客(26)
- 收藏
- 关注
RSS订阅原创 网安小白入门课程/ Web渗透0基础就业班
很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。的形式,无需等待,报名后即刻至官网立即学习!
2024-03-27 13:21:52
347
原创 红队攻击手“实战”特训
并于2020年荣获 “创客中国江苏省中小企业创新创业大赛”优胜奖、江苏省中小企业创业大赛三等奖、江苏省人社厅“大学生优秀创业项目”、机械工业出版社“年度最佳合作伙伴”;(阔知学堂搜索ms08067)观看每节课的回放,所有课件和相关源码资料会上传WIKI(wiki.ms08067.com)可随时随地在线观看。主动信息收集的常见手段(仅限扫描的nmap和扫描带有poc的goby)主动信息收集后的信息处理。针对windowsdefender的shellcode特征码的特点分析及绕过思路;UAC工作原理介绍;
2024-03-07 13:30:10
537
原创 关于报考NISP二级的紧急通知
在(NISP一级)的基础上,学习网络安全技术基础,通过考试的学员具备从事网络安全岗位的基本能力,对网络安全运行和维护有足够的认识。随着NISP二级报考条件的收紧,未能及时考取NISP二级证书的学员,受考证条件限制,毕业后将会有2-4年的考证空窗期方能报考CISP证书,对比同期持有NISP二级证书的学员来说,就业竞争力明显劣势。为规范NISP二级报考条件和CISP证书换证标准,根据中国信息安全测评中心最新通知,即日起NISP二级仅限全日制在校大学生报考,报名时必须同步提供学信网在籍证明图。
2024-03-07 13:21:32
450
原创 【推荐】渗透测试面试(问题+答案)
1、介绍一下自认为有趣的挖洞经历2、你平时用的比较多的漏洞是哪些?相关漏洞的原理?以及对应漏洞的修复方案?3、php/java反序列化漏洞的原理?解决方案?4、如果一台服务器被入侵后,你会如何做应急响应?5、你平时使用哪些工具?以及对应工具的特点?6、如果遇到waf的情况下如何进行sql注入/上传Webshell怎么做?请写出曾经绕过WAF的经过(SQLi,XSS,上传漏洞选一)7、如何判断sql注入,有哪些方法8、如何判断 SQL 注入漏洞成因,
2024-02-23 13:37:58
962
原创 CISP-PTE、PTS成为懂项目管理的技术专家
注册信息安全专业人员渗透测试专家CISP-PTS在注册信息安全专业人员渗透测试工程师CISP-PTE的基础上,更加注重培养学习者在渗透测试领域所掌握的知识的广泛度(如更多类型的数据库、中间件所涉及的安全问题),更加强调检验学习者对当前主流渗透测试技术掌握的深入程度和实施过程的专业程度、熟练程度。作为中国信息安全测评中心颁发的渗透测试领域证书,其持有人员不仅更容易得到更多企业的认可,同时具备从事信息安全技术领域网站渗透测试工作能力,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
2024-02-23 11:36:02
1005
原创 Web安全零基础就业班(第2期)毕业留影
A:我们的这个零基础课程是安排在每周的,周一、周二、周三晚上,我给自己设置了上课前的闹铃,因为工作的原因,有时候忙着忙着就会忘记时间,然后老师讲课也比较风趣幽默,2个小时的课程,很快就上完了,直播课上没弄明白的,我会下课看录播,看老师发在wiki上的课件,跟着内容再进行复现,实在不会的,就找老师补救,只要想学,还是很容易能坚持的下来的!在零基础就业第二期班学习中,以下两位学员积极参与实验室的各项试验,在直播学习期间完成满勤,且高质量的完成老师布置的课堂作业,整体表现突出,一起看看学习之星的表现吧。
2024-02-06 15:02:45
314
原创 红队攻击手实战技术
直播培训的目标是让您学会而不是仅仅给您一堆视频教程去看私塾式小班精讲,!伴随着新的一年的到来,我们,也如约而至~每一期我们都会做二次学员反馈,根据同学们的真实反馈和需求,来调整讲师及授课内容新的一期我们增加了C++基础,python基础,汇编基础的课程,方便学生扎实基础。
2024-02-06 14:49:05
836
原创 eduSRC那些事儿-4(未授权漏洞+社会工程学)
邮箱一般选择163或Email完美邮箱(https://www.email.cn/),一是可以自定义邮箱名称,二是两个邮箱发送给其他邮箱服务商不会进行拦截,邮箱名称尽量与学校部门使用的邮箱或学校。2、通过搜索引擎或学校官网查看教师个人简介,获取相关个人信息(如:姓名、邮箱、手机号码等),然后批量发送钓鱼邮箱进行撒网式攻击,获取统一认证密码后进行进一步渗透。2、很多学校的学生会在空间、朋友圈发送一些包含个人敏感信息的图片、文字(如:快递单、车/飞机票、学生证,甚至是身份证),整合信息获取所需。
2024-02-06 14:36:37
464
原创 JAVA代码审计初学者的学习路径,照着学就对了!
很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。的形式,无需等待,报名后即刻至官网立即开始学习!
2024-02-02 14:31:23
323
原创 黑客最常用的两个重要PowerShell命令
另一方面,GUI给系统管理员带来了烦琐的操作步骤,例如修改Windows系统终端的登录密码,需要依次单击“控制面板”“用户账户”“修改账户密码”等一系列选项,如果需要修改100台终端的登录密码,将会耗费大量时间。PowerShell支持的命令非常多,难以记忆使用,我们经常需要借助Get-Help和Get-Command命令查找所需的命令,并正确使用。你能想象结果会怎样吗?当对某个命令一无所知的时候,就用Get-Help命令试一下,如图所示,它能够列出命令的正确使用方法。
2024-02-02 14:16:46
828
原创 CTF从零基础入门到进阶,看这一篇就够了!
0基础学习ctf,构建ctf知识体系:找准重点方向的同时,掌握其他各个方向知识,构建知识体系的六边形战士:各个老师均是国内知名战队或知名竞赛公司实验室研究员,有丰富的比赛及出题经验,让你从选手和出题人以及运维人员这三个纬度思考问题:从出题者的角度出发,让你在学完课程之后不仅能够做题也能够将自己的想法出成ctf题目,出现在各个高质量的比赛当中:学练结合,梳理每个知识点,结合题目加深印象,夯实基础讲师团队。
2024-02-02 14:11:43
608
原创 最新SQL注入漏洞修复建议
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞的修复方法有两种。
2024-02-02 13:59:20
309
原创 攻击域控丝滑小连招~
在Kali中打开命令行进入存放ntds.dit目录中,使用esedbexport 恢复,输入如下命令来提取表信息,如图6-26所示,恢复时间视ntds.dit大小决定,导出成功会在同目录生成一个文件夹。下载成功后,将impacket工具包安装在Kali上,impacket是基于使用Python编写的,Kail默认安装了Python,直接输入命令,如图6-30所示。成功安装后,打开命令行进入ntds.dit和SYSTEM目录,输入如下命令,成功导出ntds.dit中所有Hash,如图6-31所示。
2024-02-02 13:56:00
543
原创 eduSRC那些事儿-2(sql注入类+文件上传类)
并且在桌面找到缴费系统的内网IP,尝试使用Mimikatz获取的密码进行登录,成功登录。文件检测过滤了脚本格式后缀也不存在解析漏洞,而在服务器上传时取的是第一个点的后缀,所以成功上传了php文件。发现成功上传了脚本文件,连接webshell,在利用fofa查找C段资产时,发现目标存在某登录系统,直接使用admin/123456弱口令进后台管理系统,在相关功能点存在文件上传,没有任何过滤,然后上传了一个aspx大马(有通过注册表查看rdp端口的功能),发现管理员把3389端口改成了1111,连接即可登录,
2024-02-01 14:57:41
355
1
原创 web渗透从0到1入门学习计划
很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。的形式,无需等待,报名后即刻至官网立即学。
2024-02-01 14:49:57
968
1
原创 eduSRC那些事儿-1(信息泄露+弱口令)
虽然图片比较模糊,但是通过仔细分析还是推出了身份证号后六位(原图未对学号、身份证后六位进行打码,使用网上图片清晰度处理工具加上手工分析得到相关结果),结合前面操作说明泄露的学号,构造账号密码成功登录统一认证平台,直接泄露全校数千名毕业生个人敏感信息,通过泄露的学号加上身份证号可以构造登录统一认证平台和vpn系统,对内网进行进一步渗透。在某些学校通告说明、操作技术文档、ppt说明等页面,可能会涉及到系统的一些操作,如果未打码或打码不全,就会造成信息泄露。
2024-02-01 14:34:53
341
1
原创 eduSRC那些事儿-3(命令执行类+越权逻辑类)
http://xxx.edu.cn/attachments/ds_photo/工号.jpg http://xxx/xg/vfs/vfs.do?直接查看照片链接,是否存在参数或文件名称可猜解(包含学号、工号、ID值等信息),遍历即可获取所有个人照片。社工获取某学校学姐身份证号加学号等个人敏感信息,登录学工系统,在学工系统个人信息查看功能抓包,获取到以下接口,抓包更改接口,泄露密码、学号、身份证号、手机号、学院专业等信息。利用审查元素或抓包更改学号为其他人的,成功重置他人密码,
2024-01-31 14:28:42
795
原创 干货|免费领网络安全最全资料、工具包
不管你是网络安全爱好者还是有一定工作经验的从业人员。,扫码添加下面老师微信,凭截图领取2023最新整理。不管你是刚毕业的行业小白还是想跳槽的专业人员。一定会对你的学习有所帮助!这个免费福利还不抓紧机会速速来领!几乎打败了市面上90%的自学资料。并覆盖了整个网络安全学习范畴。
2024-01-31 14:18:24
278
1
原创 2023年Ms08067安全实验室公众号年度盘点
转眼之间,MS08067安全实验室已经陪伴大家第六个年头了,我们希望可以提供更多更好的安全技术给大家,能带给大家学习的便利。也希望作为安全人的你,在这条路上不孤单,我们一起进步,一起成长。
2024-01-31 14:13:40
956
转载 干货合辑!2022年度盘点
又是互相陪伴成长的一年!2022的年终总结虽迟但到!过去这一年,伴随着疫情的变化有人辛苦一点,有人幸运一点,但我们都到了今天。让我们一同憧憬美好放开的2023~老样子,去年没学完的知识今年立个flag继续战!再也不用翻历史记录了哦~快接好小编给你准备的这份干货宝典吧⬇️web安全。
2023-01-11 09:51:34
131
转载 云安全 之 Kubernetes (K8S) 如何部署
当你应用访问数不断增加,机器逐渐增加到十几台、上百台、上千台时,每次加机器、软件更新、版本回滚,都会变得非常麻烦、痛不欲生,再也不能好好的摸鱼了,人生浪费在那些没技术含量的重复性工作上。Kubernates可以为你提供集中式的管理集群机器和应用,加机器、版本升级、版本回滚,那都是一个命令就搞定的事,不停机的灰度更新,确保高可用、高性能、高扩展。用直接在物理机上部署,机器资源分配不好控制,出现Bug时,可能机器的大部分资源被某个应用占用,导致其他应用无法正常运行,无法做到应用隔离。加入时记得把"\"去掉。
2022-12-26 17:19:12
499
1
转载 黑客破解赌博网站漏洞每月“薅羊毛”10万
男子曾某大学毕业后,曾有一份稳定而又体面的工作,但后来觉得工资太低,选择了辞职创业,万万没想到,最后亏了几百万,可是曾某没有气馁,他为了赚钱,把盯上了赌博网站,而且成功了。曾某毕竟是敢辞职创业的人,很果断,说干就干。1、事发后,有网友在讨论,到底是曾某手下下员工,因为不满曾某的管理,最后选择了报警,还是赌博网站发现有人薅他们羊毛,举报曾某等人诈骗?第一,曾某等人的行为不构成犯罪,理由是,赌资不受法律保护,既然赌资不受法律保护,那么曾某等人的薅赌博网站羊毛的行为,就没有社会危害性,所以他们不构成犯罪。
2022-11-03 09:27:40
6605
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人