201907 - 蛋壳博客 - 网络安全博客

201907 - 蛋壳博客 - 网络安全博客 201907 - 蛋壳博客 - 网络安全博客

最新文章

社会工程学

对某娱乐网的一次社工劫持

7

蛋壳 发布于 7-31

本人爱好网络技术,看到某娱乐网收录了某唰宽带钻的教程,现在已经今非昔比了;很多唰钻的冒充宽带钻来牟利。而后发现它的人气不错的,于是就淫荡的笑了,展开了一次对该娱乐网的社工,第一次上脉搏还希望各位大佬别吐槽,照顾下小弟且最近很流行社工域名进行域名解析劫持所以小编也来给大家写了一片文章首先域名www.wofl*****.com针对域名进行whois查...

阅读(77) 评论(0 )

渗透测试

挖洞经验 | 漏洞就在那里,在那显眼之处

1

蛋壳 发布于 7-31

一、经验之谈自今年年初入门漏洞众测以来,不可否认的是,一路走来有挫折有沮丧,甚至有时候还感觉自己像个“水货”。翻翻Twitter和Hacker101等其它漏洞众测论坛发现,很多新手都容易灰心,感觉漏洞很难发现。虽然这种感觉可以理解,但在这里要说的是,有很多被发现的漏洞,其原理非常简单,我们需要的是正确的心态、坚持不懈的毅力和一点点的运气。挖洞成功...

阅读(74) 评论(0 )

文章分享

匿名助手Tor-Router:Tor网关及流量配置工具使用全教程

3

蛋壳 发布于 7-31

今天给大家介绍的是一款名叫Tor-Router的实用工具,这款工具可以帮助我们将Tor设置为默认网关,并将所有的网络流量通过Tor来发送,整个过程不需要用户手动编码,以帮助用户增强隐私性和匿名保护性。Tor-RouterTor-Router允许用户将Tor用作透明代理,并通过Tor(包括DNS请求)来发送设备所有的网络流量。用户只需要一台使用了s...

阅读(85) 评论(0 )

业内新闻

2019 CSS互联网安全领袖峰会首日纪实

12

蛋壳 发布于 7-31

随着大数据、云计算等基础能力的完善,AI技术正在走出实验室,承担台前幕后的各项工作,赋能安全乃至反哺业务。往年热议的话题一步步落地夯实,今年的CSS又将带给我们怎样的惊喜呢?2019年7月30日,第五届CSS互联网安全领袖峰会在京举行。今年的主题围绕“产业升级”、“安全升维”,聚集诸多行业领袖,探讨产业互联网时代的安全之道。腾讯公司云与智慧产业总...

阅读(67) 评论(0 )

程序源码

禁止迅雷极速版强制升级方法

1

蛋壳 发布于 7-31

迅雷强制升级已达到丧心病狂的程度,就是升级到新版本,也是限速严重,作死。本文方法只针对迅雷极速版。进入迅雷安装目录中的Data目录,找到ThunderPush文件夹并删除,如果没找到这个文件夹,就直接新建一个ThunderPush文件夹。然后右键ThunderPush文件夹→属性→,勾选“只读”,安全→编辑→完全控制勾选“拒绝”,并应用。可以双击...

阅读(129) 评论(0 )

程序源码

XXX公司取名软件完美破解改进思路

23

蛋壳 发布于 7-29

原作者https://www.52pojie.cn/thread-719791-1-1.html 软件没有完美破解成功一种修补方式。新手第一次发帖破解的不是很好望各位大佬多多指教谢谢。所写这个软件没有加壳  载入ODF9运行点击E来到00400000双击这个00400000地址 来到00400000处右键智...

阅读(65) 评论(0 )

文章分享

SEO - 蜘蛛陷阱的利弊及如何识别蜘蛛陷阱?

1

蛋壳 发布于 7-29

什么是蜘蛛陷阱?说到蜘蛛陷阱,这是个很虚的东西。没有非常正规的说法,蜘蛛陷阱就是网站通过技术漏洞或者认为方式造成的一种策略,一旦搜索引擎开始抓取到站点某个URL后,就会通过该页面发现新链接从而诱使搜索引擎蜘蛛无限循环的抓取,也就造成了进去后就无法出来,类似站群的思维方式,这种情况就被称之为蜘蛛陷阱。如何判断识别网站是否存在蜘蛛陷阱?这里少羽认为有...

阅读(68) 评论(0 )

渗透测试

未授权访问漏洞总结

4

蛋壳 发布于 7-27

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。常见的未授权访问漏洞1.MongoDB未授权访问漏洞2.Redis未授权访问漏洞3.Memcached未授权访问漏洞CVE-2013-72394.JBOSS未授权访问漏洞5.VNC未授权访问漏洞6...

阅读(143) 评论(0 )

渗透测试

思路决定出路

3

蛋壳 发布于 7-27

某站,经测试发现存在IIS解析漏洞,且支持PHP该站程序基于ACTCMS可以找0day来渗透,但是既然发现了解析漏洞,那么也不能那么简单就放弃掉这个突破点,网站前台并没有发现上传点,所以换了个思路,用御剑扫出来 KindEditor 编辑器,然后百度了下该编辑器,得到 KindEditor 上传后端处理地址...

阅读(65) 评论(0 )

文章分享

6亿密码Hash – 预先计算的哈希表 v.1.0-附上密码库种子下载

2

蛋壳 发布于 7-27

这是国外一位叫ndronicus的安全研究者分享出来的,从2018年夏天到大约十年中从100个最大的密码泄露数据库存储中收集的6亿个唯一的纯文本密码的列表。ndronicus从这些密码生成了NTLM,sha1,sha256,MySQL和MD5 hashes,它们包含在下载文件中。据估计,密码总数最初超过20亿。在2018年初,我开始从我...

阅读(102) 评论(0 )

社会工程学

社工实例:黑客威胁反击战

蛋壳 发布于 7-26

 事情是这样的,一个自称黑客的人(下称黑客),以掌握受害人的个人隐私信息为由,胁迫被害人交出指定的帐号信息,否则将公布被害人的个人隐私。受害人被迫到社交网站求助,热心网友利用受害人提供的线索帮忙把黑客的个人信息翻了个底朝天,成功反攻。求助受害人受到威胁后在v2ex发帖求助,摘录原帖部分内容:“这个人看中了我的百度中文帐号,号称手上有我的...

阅读(106) 评论(0 )

社会工程学

转:Crunch--字典生成工具

1

蛋壳 发布于 7-26

 Crunch是一种创建密码字典工具,按照指定的规则生成密码字典,可以灵活的制定自己的字典文件。使用Crunch工具生成的密码可以输出到屏幕,保存到文件、或另一个程序。crunch程序在2004年及以前由email为mimayin@aciiid.ath.cx的作者编写,后续版本由bofh28@gmail.com负责维护,因此在githu...

阅读(117) 评论(0 )

业内新闻

利用DNS隧道构建隐蔽C&C信道

18

蛋壳 发布于 7-26

背景介绍无论是高级持续性威胁(APT)、僵尸网络(Botnet),还是勒索软件、后门等,命令与控制信道(C&C)都是其重要组成部分,尤其是APT和僵尸网络中的C&C信道决定了其威胁程度。学术界和工业界就C&C方面的研究已逐渐深入,目前网络战格局逐渐形成,公众对网络安全逐渐重视,网络空间中的攻防双方持续较量。迫于当前形势,攻...

阅读(87) 评论(0 )

文章分享

那些年我们绕过的waf

16

蛋壳 发布于 7-25

0x00:目录1.前言2.SQL注入绕过方法3.xss绕过方法4.命令执行绕过方法5.上传绕过6.绕过D盾,安全狗的php一句话 0x01:前言 陆陆续续写了1个月,记录一下绕过waf方面里面参考了很多网上的姿势,有一些自己想的的方法目前网上还没有公开,写文章时可以绕过某些waf。  0x02:SQL注入绕...

阅读(260) 评论(0 )

程序源码

hao123桔子浏览器 – 页面欺骗漏洞

2

蛋壳 发布于 7-25

 0x00:原理伪造URL地址漏洞,HTTP204/205地址栏伪造。页面欺骗漏洞函数:Window.open()document.write()通过一个欺骗漏洞,浏览器跳转到一个新的页面,加载了一个无效地址,处于挂起状态,并且未对无效地址做任何处理。 0x01:漏洞浏览器版本:v2.1.0.1038  (...

阅读(126) 评论(0 )


sitemap