欢迎来到【血梦博客】 今天是:2020年07月09日 星期四
站长联系QQ:635948183
  • 渗透测试TIPS之删除、伪造Linux系统登录日志

    渗透测试TIPS之删除、伪造Linux系统登录日志

    渗透测试TIPS之删除、伪造Linux系统登录日志0×00. 引言 擦除日志在渗透测试中是非常重要的一个阶段,这样可以更好地隐藏入侵痕迹,做到不被系统管理人员察觉,实现长期潜伏的目的。 前段时间NSA泄露的渗透测试工具中就有一款wtmp日志的擦除,非常好用,这引起了我的兴趣,于是研究了一下linux 登录相关二进制日志的文件格式,用py...

    阅读全文 作者:血梦 日期:2017-07-31 分类: 提权教程

  • 如何使用深度学习检测XSS

    如何使用深度学习检测XSS

    如何使用深度学习检测XSS一、前言 众所周知,深度学习在计算机视觉、自然语言处理、人工智能等领域取得了极大的进展,在安全领域也开始崭露头角走向了实际应用。本文中进行的实验主要以文本分类的方法,使用深度学习检测XSS攻击,由于本人是初学者,难免对算法本身的理解不够确切,所以本文尽量使用通俗简单的方式介绍算法,不会过...

    阅读全文 作者:血梦 日期:2017-07-31 分类: 渗透测试

  • 一款短小精致的SSH后门分析

    一款短小精致的SSH后门分析

    一款短小精致的SSH后门分析0×00. 引言 在《利用系统特性伪装成一个免密登陆后门》一文中,我介绍过利用系统特性伪装成一个ssh系统后门,不过,这个后门需要新开一个端口,而本文介绍的这个后门只需要系统上开放了ssh服务就行了,不需要额外的开放端口,详情见正文 0×01. 正文 1. 后门简...

    阅读全文 作者:血梦 日期:2017-07-29 分类: 代码审计

  • 获取来源IP地址的正确姿势

    获取来源IP地址的正确姿势

    获取来源IP地址的正确姿势背景 笔者从去年6月份开始研究IP地址,陆续踩了很多很多坑,也结识了一大批同行业的前辈。 我能说我是这个圈子里年龄最小的么…..我一直在承受我这个年纪不该有的智慧和经历。 关于IP地址的研究,此前我写过一个完整的系列,先后被未央网、雷锋网和先知社区转载。如果你想看...

    阅读全文 作者:血梦 日期:2017-07-29 分类: 渗透测试

  • 跟着DVWA学Web安全开发

    跟着DVWA学Web安全开发

    跟着DVWA学Web安全开发0x00 前言 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 ...

    阅读全文 作者:血梦 日期:2017-07-12 分类: 渗透测试

  • web安全之如何全面发现系统后台

    web安全之如何全面发现系统后台

    web安全之如何全面发现系统后台前言 所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网站数据库和文件的快速操作和系统管理,方便前台内容的更新及管理。 渗透测试中...

    阅读全文 作者:血梦 日期:2017-07-12 分类: 渗透测试

  • 三个案例看Nginx配置安全

    三个案例看Nginx配置安全

    三个案例看Nginx配置安全之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy ,作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题,包含由Nginx配置错误导致的漏洞。 所以我挑选我觉得比较有趣,而且很有可...

    阅读全文 作者:血梦 日期:2017-07-09 分类: 代码审计

关灯