1.web攻防

[RSA议题分析] eBPF Warfare - Detecting Kernel & eBPF Rootkits with Tracee

文章目录简介议题分析基础知识用户空间与内核空间hookrootkit追踪技术eBPF架构Tracee-一个运行时安全检查工具RootKit种类与各个阶段的攻防LD_PRELOADRootKitKernelModuleRooKitKernelRootKitHidingKernelRootKitHooksyscalltablehookingfileoperationshookingKernelRoot
breezeO_o·2023-10-13 18:34

红队专题-工具Fscan

common目录Plugins目录Webscan目录爆破插件Webtitle函数webpoc扫描类型common.Scantype免杀源码特征参考链接招募六边形战士队员一起学习代码审计、安全开发、web攻防
amingMM·2023-10-13 15:56

红队专题-从零开始VC++远程控制软件RAT-C/S-[3]客户端与服务端连接

红队专题招募六边形战士队员完善信息条目OnBeginListen函数Common头文件新建项结构体宏定义m_MysocketC++类的编写添加C++类itemData调用招募六边形战士队员一起学习代码审计、安全开发、web攻防
amingMM·2023-10-13 15:51

java xxe漏洞利用_XXE漏洞攻防原理

方便永远是安全的敌人你的知识面,决定你的攻击面1简述XXE(XMLExternalEntity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。而如今越来越多的WEB程序被发现和报告存在
孔祥康·2023-10-13 13:29

公安部某研究所:代码审核建立安全卡口,为各行业提供优质安全服务保障

以安全赋能数字化,发现企业潜藏的安全问题该研究所在为大型央国企提供网络安全重点保障服务的过程中,发现在网络安全形势日益严峻,攻击手法愈发复杂,攻防演练常态化的背景下,如何有效发现隐藏在组织中的攻
开源网安·2023-10-13 10:04

联邦学习攻防综述

联邦学习简介联邦学习使得无法被汇聚在一起的多个数据源,可以通过不可逆的模型信息训练共享模型。整体的流程被划分成3个阶段:1)共享模型分发;2)本地模型训练;3)模型信息收集、聚合与模型更新,如下图所示攻击类型联邦学习的两个重要目标分别是隐私保护和联合建模,而这两个目标也是攻击者的攻击方向。这篇论文根据攻击者的方向,将攻击类型划分为3类。(1)机密性攻击,攻击者尝试从传递的数据中推断隐私信息。联邦学
DAYTOY-*⸜( •ᴗ• )⸝*·2023-10-13 09:49

恶意样本自动化配置提取初探

CAPEv2/Emotet.pyatf2ab891a278b2875c79b4f2916d086f870b54ed5·kevoreilly/CAPEv2(github.com))沙箱的提取代码,在前面奇安信攻防社区
红队蓝军·2023-10-12 21:36

攻防世界题目练习——Web引导模式(一)

command_execution2.xff_referer3.simple_js4.php_rce5.Web_php_include6.upload17.warmup难度1全部写过了,这个系列里没有指路:攻防世界题目练习
什么都没学会·2023-10-12 18:41

攻防世界之supersqli

目录SQL注入的确定字段判断爆表联合查询堆叠注入字段查询handler查询法预编译绕过法修改原查询法打开连接SQL注入的确定查询1跟2,页面正常显示查询1'and1=1,出现SQL报错,说明存在SQL注入字段判断查询1'orderby1#1'orderby2#页面都能正常显示但是查询1'orderby3#的时候页面出现错误说明SQL语句的字段为2爆表联合查询试着基础的查询-1'unionselec
金 帛·2023-10-12 18:08

攻防世界web进阶区Web_php_unserialize,序列化大详解

攻防世界web进阶区Web_php_unserialize详解题目详解正则魔术方法CVE-2016-7124wakeup绕过不同属性的对象序列化后字符格式是不一样的题目题目是一个php反序列化,这里放出了一个源码审计详解
無名之涟·2023-10-12 18:37

攻防世界题目练习——Web引导模式(二)

题目目录1.Web_php_unserialize2.supersqli3.web24.NewsCenter5.Web_python_template_injection6.catcat-new1.Web_php_unserialize题目源码:file=$file;}function__destruct(){echo@highlight_file($this->file,true);}funct
什么都没学会·2023-10-12 18:04

Python黑客攻防(八)密码破解攻击

准备python环境靶场->Python黑客攻防(四)搭建测试环境教程1.先开启靶场,浏览器输入http://127.0.0.1/wp-lo
肥胖喵·2023-10-12 16:39

Python黑客攻防(九)编写后门程序

前言本篇文章讲解如何编写后门程序,并实践测试运行,通过后门程序查找文件。后门基本概念防火墙用于拦截用户从外部访问服务器。访问服务器的Telnet、FTP等服务只限允许的用户使用。防火墙并不会阻断用户从内部向外部的访问路径。虽然很难从外部侵入防火墙,但一旦成功,黑客就能轻松窃取敏感信息。后门技术用于绕过防火墙等安全设备,掌控服务器资源。安装于目标服务器的后门客户端会接收并运行来自后门服务器的命令,并
肥胖喵·2023-10-12 16:39

Python黑客攻防(十六)编写Dos脚本,进行简单攻击演示

注:本篇文章为个人学习笔记仅供学习交流,请勿用于非法用途。转载须标明出处。欢迎关注微信公众号:黑客帮获取更多干货。Dos攻击简介DOS:中文名称是拒绝服务,一切能引起DOS行为的攻击都被称为DOS攻击。该攻击的效果是使得计算机或网络无法提供正常的服务。常见的DOS攻击有针对计算机网络带宽和连通性的攻击。DOS是单机于单机之间的攻击。Dos攻击原理首先攻击者向被攻击的服务器发送大量的虚假IP请求,被
肥胖喵·2023-10-12 16:39

Python黑客攻防(一)屏幕窃取

注:本篇文章仅供学习交流,请勿用于非法用途,否则后果自负。首发于微信公众号:黑客帮,大神勿喷。原理:使用SMTP协议及截图函数完成屏幕截取并自动发送到指定邮箱。步骤:1.邮箱开启SMTP服务,记住授权码。登录网页版邮箱->设置->账户,找到SMTP服务将其开启,记住授权码。2.代码解析。截图函数time.sleep()表示休眠这里为5,表示代码暂停5秒,该函数每5秒就截一张图在D盘中覆盖保存。#截
肥胖喵·2023-10-12 16:09

IIS解析漏洞

环境搭建参考:奇安信攻防社区-IIS渗透合集常见的解析漏洞:IIS5.x/6.0解析漏洞IIS7.0/IIS7.5/Nginx<0.8.3畸形解析漏洞Nginx<8.03空字节代码执行漏洞Apache解析漏洞
- Time·2023-10-12 05:48

攻防世界】command_execution

题目再现小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。题目分析本题目说没有写WAF,然后可以执行Linux经典代码PING,我猜测到服务器不会校验我所注入的代码,我利用串行执行符&&进行测试,没想到可以执行Linux代码。思路分析既然可以执行远端代码,我便想看看这台服务器中,都存在那些好东西,使用Web浏览器输入命令显然不够方便,我计划使用Python封装一个
不喝水的鱼儿·2023-10-11 17:02

网络安全技术学习之网络安全概述

注:本文内容全部参考自清华大学出版社的《网络攻防技术与实战》(郭帆编著)文章目录1.1网络安全的定义1.2网络系统面临的安全威胁1.2.1恶意代码1.2.2远程入侵1.2.3拒绝服务攻击1.2.4身份假冒
帽子歪了·2023-10-11 16:41

我们仨的碎碎念之每天都在斗智斗勇~

在我即将脱口而出:做家务使我快乐的0.01秒,我意识到这到底是送命题,还是陷阱题,于是我决定笑而不语[嘘][嘘][嘘]39.今晚老陈和攸宝又来了一场作业与练习的攻防战,最终老陈动之以情,晓之以理完胜~
landonchen·2023-10-11 13:09

网络安全-防守-护网

护网目标通过防守工作与技术方案,做好“护网”前期准备、安全自查整改、攻防演练和演练总结等各阶段相关工作。
fo安方·2023-10-11 07:10

html-css

今日内容1.web概念概述2.HTMLweb概念概述*JavaWeb:*使用Java语言开发基于互联网的项目*软件架构:1.C/S:Client/Server客户端/服务器端*在用户本地有一个客户端程序
陈方超·2023-10-11 06:44

API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测

文章目录概述什么是接口?1、API分类特征SOAP-WSDLWebservices三种基本元素:OpenApi-SwaggerUISpringbootActuator2、API检测流程Method:请求方法URL:唯一资源定位符Params:请求参数Authorization:认证方式Headers:请求消息头3、API检测项目ReadyAPIPostman联动XrayAPIKITBurp插件补一
今天是 几 号·2023-10-11 05:06

学习黑客需要先了解哪些知识,零基础怎样掌握网络安全知识体系

未知攻,焉知防,攻防兼备,是为网安之道。本文就给大家讲讲普通人如何通过系统性的学习,掌握网络安全体系的内容。大家要排除关于黑客认知的几个误区。
教IT的小强·2023-10-10 21:29

JavaWeb的流程和基础环境

一、JaveWeb开发需要的基础环境1.Web应用服务器(Servlet容器)-TomcatJetty/JBossweblogi(EJB)2.JSP+Sevlet编写应用程序运行与容器中二、Web核心流程前台请求和数据提交
pure_joy·2023-10-10 18:33

Web攻防--Java_SQL注入--XXE注入-- SSTI模板注入--SPEL表达式注入

目录标题预编译Java_JDBC注入Java_MyBatis注入XXE注入SSTI模板注入SPEL表达式注入预编译编译器在编译sql语句时,会依次进行词法分析、语法分析、语义分析等操作,预编译技术会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,注入语句也就不会被识别为SQL的关键字,从而防止恶意注入语句改变原有SQL语句本身逻辑。Java_JDBC注入在使用JDBC进行数据库操作
SuperMan529·2023-10-10 17:03

攻防世界第六题weak_auth

这道题要用到的有burp以及burp的内置浏览器进入这个题目的环境后看到的就是一个登录界面但我们也不知道账号和密码,那就瞎搞一个呗,反正瞎搞又不花钱。搞完之后看到他提示账号是admin那这道题是用暴力破解,那就大力出奇迹。开启抓包后输入账号admin密码还是瞎搞,我这里输入的密码是123456789在抓包界面也就能看到我们输入的账号和密码了要用到暴力破解,所以在action中选择发送到intrud
With Order @!147·2023-10-10 06:23

红队专题-Cobalt strike4.5二次开发

红队专题招募六边形战士队员原版CS反编译破解jar包反编译拔掉暗桩初始环境效果招募六边形战士队员一起学习代码审计、安全开发、web攻防、逆向等。。。
amingMM·2023-10-10 02:17

CTF之CTF(夺旗赛)介绍

CTF的比赛模式主要包括解题模式(Jeopardy)、攻防模式(Attack-Defense)和混
wenzhongxiang·2023-10-10 02:15

红队攻击:初始访问

公众号:安全攻防渗透0x01windows-多账户同时登陆描述攻击者可能会获取并滥用本地帐户的凭据,以获取初始访问权限,持久性,权限提升或防御逃避。
安全攻防渗透·2023-10-09 14:59

常用工具

本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)
PeiSylon·2023-10-09 14:53

2023 10月2日 至 10 月8日学习总结

PicDownpython反弹shellproc/self目录的信息_双层小牛堡的博客-CSDN博客[CISCN2019华北赛区Day1Web5]CyberPunk二次报错注入_双层小牛堡的博客-CSDN博客攻防世界
双层小牛堡·2023-10-09 14:51

网络安全工具合计(攻防工具)

目录All-Defense-Tool免责声明半/全自动化利用工具信息收集工具资产发现工具子域名收集工具目录扫描工具指纹识别工具端口扫描工具Burp插件浏览器插件邮箱&钓鱼社工个人信息收集类APP/公众号/小程序相关工具常用小工具漏洞利用工具漏洞扫描框架/工具中间件/应用漏洞利用工具重点cms利用工具信息泄露利用工具数据库利用工具爆破利用工具全网字典收集常规漏洞利用工具反序列化利用工具代码审计辅助工
第三个夏末.·2023-10-09 14:16

iOS Anti-Debug技术探讨

前言移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟
l3gi0n·2023-10-09 11:10

忙碌的12月,漫画暖人心

最近在看《黑子的篮球》后面15册,看到诚凛的进攻之矛与阳泉的防御之盾的大攻防,甚是精彩;还有《银魂》,我觉得这是一部被严重低估的作品,内容真的很搞笑,很适合茶余饭后的吐槽。
佳扬的天空·2023-10-09 08:29

学习笔记-公有云安全

csp_security_mistakes-Cloudserviceprovidersecuritymistakes相关文章云环境下密钥泄露导致的安全问题关于云安全渗透实录|ThreatSource鸟哥:浅谈云安全技术以及安全架构亮点【云安全】华为云OBS对象存储攻防
C-haidragon·2023-10-09 07:52

2021-8-29《内网安全攻防》第一章内网基础知识

欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注这是MS08067实验室的作品,我看的过程中做了一些笔记,算是复习+学习吧。
热热的雨夜·2023-10-08 23:03

【内网学习】1.内网相关基础知识

目录0x01.内网0x02.工作组0x03域3.1域控制器3.2域中的几个环境3.3活动目录3.4安全域的划分3.5域中计算机的分类3.6域内权限前言:买了《内网安全攻防》这本书已经很久了,但是迟迟没有开始阅读
gclome·2023-10-08 23:33

具有实战功能演变成注重养生功能的太极拳!缘何?

李连杰练的,是以传统武术的手眼身法步为基础,含有武术攻防特点的一种竞技体育项目,它比的是身体的灵活性和协调性,套路的连续性和准确性,并通过动作的高飘险绝,带给人畅快淋漓的美感。
木渎太极拳馆·2023-10-08 13:59

网络安全:CSRF攻防原理

一、如何发起一次CSRF攻击原理:CSRF的本质实际上是利用了Cookie会自动在请求中携带的特性,通过伪造请求来执行恶意操作。1、目标网站信息:接口地址:https://victim.com/change-password请求类型:get/post接受参数:password2、编写一个网页document.forms[0].submit();3、诱导用户打开我们的网页用户在已经登录了https:
大佬,咋整啊·2023-10-08 10:42

网络攻防备课笔记

从“踩点”到“创建后门”的攻击流程踩点:攻击者在实施攻击前对目标进行初步的探索和调查的过程,包括收集目标的IP地址、开放的端口、服务版本、可能的漏洞等信息。扫描:使用工具如Nmap、Masscan等对目标进行端口扫描,找出开放的端口和对应的服务。漏洞探测:在知道目标系统的服务和版本后,攻击者会查找可能存在的漏洞,使用如Nessus、OpenVAS等工具进行自动化的漏洞扫描。利用漏洞:发现漏洞后,攻
Joy T·2023-10-08 08:40

攻防世界-T1 Training-WWW-Robots

文章目录步骤1步骤二结束语步骤1看到文本——>提取有效信息——>利用有效信息文本:Inthislittletrainingchallenge,youaregoingtolearnabouttheRobots_exclusion_standard.Therobots.txtfileisusedbywebcrawlerstocheckiftheyareallowedtocrawlandindexyou
hk-hkl·2023-10-08 05:03

网络安全--入侵阶段介绍

1.2漏洞扫描2.攻击阶段2.1Web应用入侵2.2绕过IDS、防火墙及蜜罐2.3Web服务器入侵2.4拒绝服务2.5缓冲区溢出3.后攻击阶段3.1权限提升3.2权限维持课程目标:这节课我们来介绍安全攻防中的入侵阶段
精雕细琢方成瑜·2023-10-08 05:28

黑客(网络安全)自学笔记——附学习路线图

不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.3.有时多google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.4.遇到实在搞不懂的,可以先放放,以后再来解决.基本方向:1.
由思不是程序媛·2023-10-08 05:29

HTML CSS JS JQuery AJAX详解

1.Web基础网页的骨骼HTML什么是HTML超文本标记语言:HyperTextMarkupLanguage这都不重要,重要的是:HTML是Web网页的基本组成部分HTML中定义的元素,决定了网页的内容和结构
halicode·2023-10-08 01:33

SpringSecurity源码学习一:过滤器执行原理

目录1.web过滤器Filter1.1filter核心类1.2GenericFilterBean1.3DelegatingFilterProxy1.3.1原理1.3.2DelegatingFilterProxy
Tnoodles·2023-10-08 00:53

设备上架与调试步骤项目篇

--工程师:架构设计项目实施故障排查--调试设备:--1.WEB界面-界面调试-内容比较少的主要项目--适合:小众品牌-命令不熟悉|单机调试-FW上SSLVPN--不适合:BGPISISMPLSVPN等
xiaoli8748_软件开发·2023-10-07 20:19

ASO有多难?

有人说,一入ASO深似海;有人说,ASO优化浅显尽知;还有人说,关于ASO的一切,尽可随缘;最后一位老者说,ASO一途实则深浅难测,你看,这一厢苹果算法变幻多端,另一厢竞品之间攻防无序,刷差评、恶意中伤
knjbvyxasg·2023-10-07 19:36

【黑客免杀攻防】读书笔记1 - 初级免杀基础理论(反病毒软件特征码提取介绍、免杀原理、壳)...

在52pojie发表《xxxx》病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征码方式的不足,还分享了他工作中4种提取特征码的方法。让我更加觉得要加紧时间学习,这样才不会被大牛甩得太远。弄清楚基本概念,以后吹水不致被嫌弃得太惨。嘿嘿!基础篇初级免杀技术第1章变脸免杀是一种反杀毒技术。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为
weixin_30642869·2023-10-07 18:08

免杀入门学习---------2019.8.27

这篇随笔的大部分内容来自《黑客免杀攻防》第一章说的免杀的历史,点了一下免杀和Rootkit的区别。Rootkit的词条介绍当然,一个菜鸟怎么会理解呢,只能默默地记一下,接受了。
Looun·2023-10-07 18:05

CTF-Misc 文件类型 详细解

1.准备工具:CTFtoolsCTFCracktools010editor2.题目准备攻防世界下载附件,如图。解压得到cipher.txt。
桀骜陷阱·2023-10-07 15:06
上一页 18 19 20 21 22 23 24 25 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他