主要关注网络安全方面的技术、知识和趋势,旨在为网络安全行业的发展做出贡献。
记录一次实战稍曲折拿下目标站点的过程。前期摸点IIS7.0+ASP.NET的组合,简单尝试发现前台登录页面可能存在SQL注入,数据包如下:为了节约时间直接祭出sqlmap,-r x.txt -v 3 --random-agent --dbms=mssql --batch识别出了数据库,却被不明力量拦截了。手工尝试绕过不明力量,堆叠的方式利用xp_cmdshell尝试将命令回显从dnslog中带出来:先开x…
黑客是网络世界的一股强大势力,他们可以破解密码、攻击服务器以及操纵网络。虽然黑客常被认为是危险分子,但是也有一些“黑客纯情”佛系黑客通过网络技术为社会贡献力量。与此同时,黑客博客也成为了黑客们分享经验、交流技术的重要场所。黑客博客涵盖了从入门教程到高级技巧的各种内容,只需按照博客作者的指引,就可以学习到黑客的相关知识。其中,有些博客属于黑客纯情,意味着他们并不会利用其所掌握的技术来犯罪。相反,他们希望通过博客的方式与大家分享他们的经验,让更多人了解网络安全以及黑客所具备的能力…
新发现显示,已经发现了与名为Wslink的恶意软件下载器相关的新后门,该工具可能被臭名昭著的朝鲜联盟Lazarus集团使用。该有效负载被ESET称为WinorDLL64,是一种功能齐全的植入物,可以泄露,覆盖和删除文件;执行PowerShell命令;并获取有关底层机器的全面信息。它的其他功能包括列出活动会话、创建和终止进程、枚举驱动器和压缩目录。Ws…
亚洲的材料研究机构已成为以前未知的[](https://blog.xiaohack.org/3596.html)使用一组独特的工具的目标。Broadcom Software旗下的赛门铁克正在以Clasiopa的绰号跟踪集群。黑客组织的起源及其隶属关系目前尚不清楚,但有迹象表明对手可能与印度有联系。这包括在自定义后门中引用“SAPTARISHI-ATHARV…
随着社会发展以及互联网的迅速发展,网站和社交网络扮演着重要角色。而个人博客作为一种独特的形式出现在我们面前,引起了人们的广泛关注。那么,什么是个人博客呢?个人博客有哪些用处呢?如何创建一个个人博客呢?本文将回答这些问题。首先来看看什么是个人博客。所谓“个人博客”就是一个由独立的个人或企业部门创建的在互联网上公开发表文字、图片、音乐、视频等信息的网站。这里可以看到各式各样的信息,无论是关于生活中的小故事还是有关行业的前沿动态都能在这里找到。其次来说说个人博…
一、前言Go语言是一个神奇的语言。但是我不会,我连开机都不会,Go是什么Go to it!这个页面上是不是很熟悉,你们在渗透扫目标的时候是不是也遇到过。pprof是一个用于Go开发时对收集的数据分析和可视化工具它能收集信息,也能被我们利用!首先要知道一些默认的功能cpu(CPU Profiling): $HOST/debug/pprof/profile 默认进行 30s 的 C…
作为一个安服仔,日常渗透中,不同阶段所使用的工具是不同的,除开自动化一条龙的脚本之外,很多时候是需要反复的进入不同的文件夹运行不同的命令,每次使用工具的时候命令可能也是一样的,那么是否有种方式将常用的工具,常用的命令集成在一起,渗透的时候仅需给定目标,就可以调用工具自动执行命令。之前流行过的GUI_Tools是一个,有了图形化页面,点击即可运行,但是一个是在Windows环境下界面实在不敢恭维,一个是无法更好的交互(或者也许我没找到交互的方式)。后来无意间发现了阿…
故事起因这天风和日丽,我正在摸鱼,忽然QQ群弹出一条消息,我打开一看,我感觉不简单。如下图:扫码后发现跳转到了QQ邮箱登陆界面,确定为钓鱼网站,看到其域名为http://**kak2.cn。这里随便输入,页面跳转到如下界面。好家伙,小伙子你挺会玩啊,收集完QQ邮箱账号密码,再来收集一波个人信息,做人不能太贪心啊。开始干活!溯源钓鱼者我们现在拿到了他的域名,现在收集…