原创 僞造郵件***,社工釣魚,你中招了嗎【一】
引用wooyun上瞌睡龍對它的定義就是,郵箱僞造技術可被用來做釣魚***。即僞造管理員或者IT運維部等郵箱發郵件,獲取信任使對方打開附帶的***文件或者回復想要獲取的敏感資料等。 在網民安全意識進一步提高的情況下,URL釣魚成
2018-09-11 08:55:40
3
原创 Kali和Backtrack中更新metasploit後無法連接數據庫的問題解決方法
很多使用kali和bt的朋友在更新metasploit後出現了無法連接postgresql的問題,國內相關的資料也不是很多。metasploit中連接數據庫可以大大提高我們的使用效率,比如 search 功能等,在默認的慢速
2018-09-11 08:55:39
1
原创 僞造郵件***,看我如何給網易郵箱APP發送垃圾郵件【二】
Duang~~~好久沒更新博客了,源於最近比較忙,感謝博友對我的支持哈~今天繼續更新 後面以我在補天漏洞平臺提交過的漏洞爲入口。 網易郵箱國內用戶很多。今天看見他家的app了 ,99.95%垃圾郵件捕獲,下面我本地搭建一個
2018-09-11 08:55:39
原创 【實戰】利用聯合查詢--手工SQL注入拿下網站
看到很多腳本小子,工具黨用啊D,明小子,穿山甲對網站掃來掃去,拿個後臺什麼的,其實基礎是最重要的,今天我來說一下純手工注入一個站點。 目標網址:http://www.******.com/about.asp?id=1 1.首
2018-09-11 08:55:39
2
原创 內網暴力破解telnet密碼進行登陸
這裏只是一個思路,傻瓜式的方法偶爾也會比較實惠。有時候,你在網吧,機房使用電腦時,就在內網。一般來說,內網的安全性較差,在那些3389端口大開,沒有組策略限制的地兒,我們可以用以下方法來傻瓜式***內網的其他機子。 掃描內網網段內開啓了33
2018-09-11 08:55:39
20
原创 【Plan】關於博客後續的更新內容說明等
最近兩個月是實在是忙碌,博客更新也不勤快,說好的教程會寫的,大家不用擔心。後續抽空開始出如下文章教程:數據庫系列(MSSQL,MYSQL)漏洞測試平臺DVWA的教程(安全級別設置:低)WEB***實戰……
2018-09-11 08:55:39
1
原创 【通知】本博客即將遷移!
感謝大家一直以來的支持,目前個人新網站已經建好,同步託管github和gitcafe上,採用輕量級框架hexo。後續會同步相關信息到這裏。
2018-09-11 08:55:39
原创 【實戰】一次艱難的***提權,成功拿下服務器
前言:這是在51CTO的第10篇文章,給大家來點給力的哈~這次的***檢測在提權反彈連接上遇到了很多問題,讓窩娓娓道來。 Let's Go! 一,對目標網站的信息收集。
2018-09-11 08:55:38
3
原创 對FTP服務器(Serv-U)賬戶賦權不當造成的安全隱患
網上有很多免費的FTP網站提供資源下載,一方面方便了我們的生活,另一方面配置不當造成的安全隱患也不小。這裏以Serv-U舉例子。 我們在上傳網馬後登陸webshell,其中有一項功能是Serv-U提權,建立管理員,與這裏的提權
2018-09-11 08:55:38
原创 【實戰】內網殺手ARP欺騙--Xspoof
X-spoof是一款優秀的內網嗅探工具,和其他嗅探工具如Cain等相比,在DOS下即可執行是它很大的一個優點,是我們***嗅探時所需要的。今天內網監聽的時候用到了它,卻發現找不到,於是在51CTO下載了它,順便在baidu搜
2018-09-11 08:55:38
3
原创 【實測】通過STUN繞過代理獲取訪客真實IP的可行性
前言:最近專業課有作業,選了ip追蹤和反追蹤這個題目,於是乎,就有了這篇文章。 首先,瞭解一下STUN的概念。STUN(Simple Traversal of UDP over NATs,NAT 的UDP簡單
2018-09-11 08:55:38
7
原创 Rootkit之ntrootkit的配置使用
NTrootkit一,配置方法\\filename:ntrootkit.ini\\This is the init file of yyt_hac's ntrootkit,please modify it correctly or the
2018-09-11 08:55:14
原创 【實戰】MvMmallv5.5SQL注入漏洞,php腳本利用方法
Tip:請不要進行非法***活動! 1.本機需要php環境,沒安裝的可下載phpstudy等集成好的軟件一鍵安裝; exp腳本如下,MvMmailv5.5_exp.php; exp下載地址:http://down.51cto.
2018-09-11 08:55:14
2