- 博客(12)
- 收藏
- 关注
RSS订阅原创 【网络安全】如何利用工具发现内部或外部网络攻击面
Attack-Surface-Framework(简称ASF)是一款功能强大的安全检测工具,可以帮助广大研究人员发现组织或企业网络系统的内部和外部攻击面。ASF能够为各大组织和企业充当一个“安全守护神”的角色,并提供一种“对象”的概念来保护企业安全。ASF可以发现组织和企业网络系统中的各类资产或子域名等信息、枚举网络端口和服务、跟踪可疑行为等,而且ASF本身也是一个兼具持续性和灵活性的攻击警报框架,并利用了一个额外的技术支持层通过公开可用的PoC来抵御0 day漏洞的威胁。ASF是一个开源项目,它利用了一个
2023-01-06 20:30:00
182
原创 【网络安全】如何搭建MySQL恶意服务器读取文件?
注:本文不涉及对MySQL协议报文研究,仅讲解原理,并且做部分演示。搭建MySQL恶意服务器读取文件这件事,虽然直接利用门槛较高,但是由于在网上看到了一种比较新颖的利用方式(利用社会工程学引诱用户连接MySQL进而读取用户文件),个人觉得比较有意思,总结了一下攻击原理以及攻击方式,因此就有了这篇文章。
2023-01-06 20:15:00
129
原创 【网络安全】浅析跨域原理及如何实现跨域
xss漏洞的原理其实很简单,类型也分为三类,反射型、储存型和dom型。但是刚接触xss的时候我根本不理解什么是dom型xss,无法区分反射型和dom型,也很少遇见,现在通过这篇文章可以给新入坑的小白更好的理解xss漏洞,也通过这篇文章巩固一下我对xss的理解,如有不正确的地方欢迎各位师傅斧正。
2023-01-06 20:00:00
150
原创 【网络安全】能在Twitter和Instagram上实现信息收集和数据获取的工具
Terra是一款功能强大的公开资源情报工具(OSINT),该工具主要针对的是Twitter和Instagram数据,广大研究人员可以利用Terra在这两个社交媒体平台上实现信息收集和数据获取。在使用Terra时,我们需要将Twitter凭证信息存储至项目creds目录下的twitter.yml文件中,具体可以参考。在使用Terra时,我们需要将Instagram的用户名和密码存储至creds/insta.yml文件中。信息,或前往Twitter的。
2023-01-06 19:45:00
463
1
原创 【网络安全】漏洞复现有多少种方式?
随后进行一个判断 if (is_array(options) && (count(options) > 0) && is_array(pk)),getPk()函数是查找mysql主键的函数,显然pk)),getPk()函数是查找mysql主键的函数,显然 pk)),getPk()函数是查找mysql主键的函数,显然pk 值是 id,不满足条件。调用了 think_filter() 函数来进行过滤,刚好就过滤了 EXP ,在后面加上了一个空格,那么自然也就无法进行上面的流程,不能进行注入了。
2023-01-06 19:30:00
173
原创 【网络安全】内网渗透(四):数据包捕获
本博文仅供学习使用,请勿他用!!!网络安全成为当下最热门的话题,如何维护网络安全是关键,而内网渗透测试又是其中最重要的部分,接下来博主将会通过系列文章,对内网渗透进行介绍与复现;内网渗透(一):获得权限内网渗透(二):权限提升内网渗透(三):信息收集内网渗透(四):数据包捕获本文将会介绍如何捕获数据包以便收集更多的信息;
2023-01-06 15:11:24
356
原创 【CS学习笔记】15、枚举的命令和方法
活动目录是一种能够集中管理用户、系统和策略的技术,活动目录的一个重要概念就是域。Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。例如 Active Directory 域服务即 AD DS 存储着有关用户账户的信息,并且使同一网络下的其他授权用户可以访问此信息。
2023-01-05 19:30:00
100
原创 【BUUCTF-Web】[极客大挑战 2019]BabySQL
1.根据提示知道sql注入有严格的过滤;再通过尝试找到绕过的方法为藏字符2.直接获得username和password 但是没有有用的信息3.通过order by的报错知晓有多少列:root =4.寻找回显点:root =>5.获得数据库基本信息:root =>6.通过information_schema数据库爆破table_name + column_names1.root =2.root =7.再根据知道的column_names去获取数据1.root =
2023-01-05 15:15:13
234
原创 【CTF】paradigm-CTF babysandbox
找Ver👴想复现下qwb final的区块链。Ver👴给我发了这个比赛下面的一道题,发现这个比赛里面有很多高质量的智能合约题。从这里开始写一些不错的题目。
2023-01-05 15:13:34
67
原创 【网络安全】我如何做运营活动
一个产品业务的发展总是离不开运营二字。随着业务快速的发展以及新业务的扩充,运营需求越来越大,并且很多时候需要追热点,因此在有限的资源下,如何做到快速、准确、灵活、稳定的满足日趋增多的运营需求,成了个问题。我们根据运营的四个基本要数(目标、人群、门槛、激励)通过对活动的抽象、建模、组件化,实现了能满足80%的运营需求的自动化运营系统,运营产品同学只需要通过一份配置文件就可以生成一个新的活动。
2023-01-05 15:07:12
69
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人