蜜罐Cowrie的简单搭建和用法介绍

0x00 Go Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询 我们可以对一段时间内的数据结果进行统计 分析出发起攻击最多的地域,最常用的暴力破解字典 先来看看结果两天...

2017-03-24 23:38:24

阅读数 6889

评论数 4

模仿黑客攻击的渗透测试流程

黑客脑图

2017-03-23 22:39:45

阅读数 1149

评论数 0

Redis安全配置和未授权访问写

0x00 Redis 作为分布式数据库的一种 在安装后有时为了进行远程管理 会将bind 127.0.0.1 同时没有设置密码是非常危险的 能轻易导致服务器被攻破 0x01 Redis安全配置 CONFIG set requirepass "hellocarl"   设置...

2017-02-28 14:59:54

阅读数 483

评论数 0

中华人民共和国网络安全法 「正文及解读」

政策全文 目录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则 第一章 总 则 条文 ...

2016-12-13 09:17:48

阅读数 1242

评论数 0

博客转移

自己新搭建了个人博客地址http://www.pentesting.wang欢迎老朋友和新朋友

2018-07-16 09:30:23

阅读数 139

评论数 0

骑士CMS4.1.23本地包含漏洞

0x00 在骑士CMS最新版的 index.php页面对$type 调用了display方法  这里的display使用的ThinkPHP的模板展示方法 参数后可直接调用安装目录下的任意文件以PHP形式运行 建议通过绕过上传.html或.txt文件 再进行远程包含即可 具体操作如下图 0...

2017-02-27 22:00:48

阅读数 1717

评论数 0

Seacms6.45最新前台getshell漏洞

Seacms最新的版本为6.45 更新后的版本存在着一个前台getshell问题

2017-02-20 17:18:57

阅读数 5095

评论数 0

Docker基础命令集合

Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。

2017-01-22 17:55:21

阅读数 1298

评论数 0

浅谈XPath注入检测思路和方法

我们都应该知道XPath这种语言是做什么的,就不细讲了,具体参见菜鸟教程 XPath语法详解 XML不是保存企业数据的,但是很多情况下都用来保存应用程序配置数据,小型应用程序也保存简单信息,例如角色权限等等

2017-01-15 14:00:48

阅读数 2183

评论数 0

关于搭建tomcat容器所遇到的两个坑

0x00 今天在ubuntu上搭建tomcat容器的时候遇到了几个坑 在这分享出来、 下面的配置不要在tomcat7上进行,会GG的,要在tomcat8上进行!

2017-01-03 19:14:46

阅读数 770

评论数 0

关于ShellShock漏洞的利用过程和原理解析

0x00 今天本是应该休息和打LOL的日子,但是我那个敬业的舍友非要拿python写个跟Siri类似的东西。好吧我也来学习学习 晚上来研究下这个14年出现并且自家产品能防护住的漏洞---ShellShock 这是Bashshell中的一个漏洞,使得攻击者能在小于等于4.1版本的Bash上...

2017-01-01 23:07:57

阅读数 4571

评论数 0

分享两个常见的业务逻辑漏洞

0x00前言 最近在对某网站做渗透测试的过程中发现了两个比较典型的逻辑漏洞,一个是通过邮件,一个是借助短信

2016-12-13 09:20:56

阅读数 2536

评论数 1

玩玩python之爬取补天厂商列表

今天写了一个爬取补天厂商列表的爬虫,好方便进行渗透测试 直接贴出代码: import requests from lxml import etree import os #引入模块 以dom-tree的方式浏览网页,注意模块要pip install安装才能引入 def Save_File(me...

2016-11-09 22:45:02

阅读数 1150

评论数 0

浅谈盲注中的基于时间型和布尔型的注入方法

SQL显错注入已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带入数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了...

2016-11-08 20:34:57

阅读数 15266

评论数 0

玩玩python之两个猥琐的爬虫

没事写了一只爬文字的爬虫和一只爬羞羞图片的爬虫

2016-11-06 17:18:22

阅读数 2273

评论数 0

dedecms最新版本存在远程包含漏洞--可getshell

小编最近发现,9月中旬发布的织梦CMS,由于管理员疏忽易存在远程包含漏洞,可getshell

2016-11-01 21:32:46

阅读数 1357

评论数 0

Discuz x2 XSS漏洞

Discuz x2 cms 针对拥有编辑权限的管理员存在储存型xss,构造合理的payload可拿到管理员cookie payload: [align="onmouseover="alert(1)];

2016-10-31 09:46:21

阅读数 1730

评论数 0

浅谈CSRF与SSRF

今天看在看《XSS跨站脚本攻击剖析与防御》的时候,里边提到了CSRF与SSRF,在网络查询了这部分的资料后,简单总结了下二者的关系与不同

2016-10-24 17:05:23

阅读数 5709

评论数 0

命令执行漏洞和修复方案

当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 漏洞成因: 脚本语言优点是简洁,方便,但也伴随着一些问题,如速度...

2016-10-22 16:03:39

阅读数 6997

评论数 0

文件上传漏洞和修复方案

现代互联网的web应用程序中,文件上传是一种常见的要求,因为它有助于一高业务效率。在大型社交网络程序中都支持文件上传功能。在博客,论坛,电子银行网络,会给用户和企业员工有效的共享文件。允许上传图片,视频,头像和许多其他类型文件。

2016-10-22 15:11:47

阅读数 8459

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭