欢迎来到【血梦博客】 今天是:2020年10月23日 星期五
站长联系QQ:635948183

  • 入侵中国长达3个月,越南黑客组织欲窃取新冠肺炎情报

    入侵中国长达3个月,越南黑客组织欲窃取新冠肺炎情报

    入侵中国长达3个月,越南黑客组织欲窃取新冠肺炎情报近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年1月至4月,越南黑客组织 APT32 针对中国目标开展了持续的入侵活动。 据悉,黑客组织将钓鱼信息发送给中国应急管理部和武汉省政府,试图让对方“中招...

    阅读全文 作者:血梦 日期:2020-04-28 分类: 界内新闻

  • NSA披露Web Shell漏洞列表,警惕黑客部署后门

    NSA披露Web Shell漏洞列表,警惕黑客部署后门

    NSA披露Web Shell漏洞列表,警惕黑客部署后门美国国家安全局(NSA)和澳大利亚信号局(ASD)联合发布一份报告,警告黑客正利用易受攻击的Web服务器来部署Web Shell。 黑客可以利用Web Shell恶意工具来感染网络或者是暴露在网络上的服务器,并由此获取权限,远程执行任意代码,在同一网络内的设备传播其他的恶意...

    阅读全文 作者:血梦 日期:2020-04-24 分类: 界内新闻

  • 如何解密AWVS?15行代码就够了!

    如何解密AWVS?15行代码就够了!

    如何解密AWVS?15行代码就够了!项目介绍 AWVS一直以来在圈子中都比较火,以速度快和高准确性深受大家喜爱。很多人想研究其运作机制却因闭源而不得其解。 今天这里通过一个极其简单的方式,只用几行代码就能让你一见其核心代码。这是最新解码方法,除python3外无须安装任何依赖(没办法,python写的),支持1...

    阅读全文 作者:血梦 日期:2020-04-24 分类: 神兵利器

  • 文件解压引发的Getshell

    文件解压引发的Getshell

    文件解压引发的Getshell声明 本文仅供学习和研究,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任。 安全狗海青实验室拥有此文章的修改和解释权,如欲转载或传播,必须保证此文的完整性,包括版权声明在内的全部内容,未...

    阅读全文 作者:血梦 日期:2020-04-06 分类: 渗透测试

  • 实战案例:精准入侵号码交易网与黑客远程定位

    实战案例:精准入侵号码交易网与黑客远程定位

    实战案例:精准入侵号码交易网与黑客远程定位这是第二篇关于网站安全与黑客攻防的案例教程,本文系转载内容介绍到的工具和思路仅供学习参考,做为站长SEO从业人员要提升警惕,不要成为别人攻击的对象。 切记:害人之心不可有,防人之心不可无。 一,谨防网络骗子 有位读者粉丝打算买6位数的QQ号,发来个网址...

    阅读全文 作者:血梦 日期:2020-04-05 分类: 渗透测试

  • 实战黑客入侵网站教程轻松拿下1000个网站

    实战黑客入侵网站教程轻松拿下1000个网站

    实战黑客入侵网站教程轻松拿下1000个网站我们生活在互联网时代,重视个人信息及网站数据安全尤为重要,但又有多少互联网从业者真正做到了保护数据及隐私的安全呢。开通网站安全版块为站长们分享网站安全与黑客入侵网站的相关案例,目的提醒站长们注重自己的网站帐号数据和资料安全,尽可能的把网站被黑的风险降到最低。 一,胜率 ...

    阅读全文 作者:血梦 日期:2020-04-05 分类: 渗透测试

  • PrivescCheck:一款针对Windows系统的提权枚举脚本

    PrivescCheck:一款针对Windows系统的提权枚举脚本

    PrivescCheck:一款针对Windows系统的提权枚举脚本PrivescCheck PrivescCheck是一款针对Windows系统的提权枚举脚本,该脚本能够枚举出目标Windows系统中常见的Windows错误安全配置,而这些错误的安全配置将允许攻击者在目标系统中实现信息收集以及权限提升,这些对于攻击者的漏洞利用以及后渗透攻击来说将非常有...

    阅读全文 作者:血梦 日期:2020-04-05 分类: 神兵利器

  • 网络犯罪天堂Deer.io之死

    网络犯罪天堂Deer.io之死

    网络犯罪天堂Deer.io之死3月24日,美国司法部宣布:联邦调查局(FBI)已经关闭了位于俄罗斯的在线平台Deer.io,主要运营商Kirill Victorovich Firsov被逮捕并面临罪行指控。 FBI这一役,宣判了曾经的网络犯罪天堂Deer.io之死。 Deer.io:“阳...

    阅读全文 作者:血梦 日期:2020-04-05 分类: 界内新闻

  • 玩家与黑客:对游戏公司和游戏玩家的网络威胁

    玩家与黑客:对游戏公司和游戏玩家的网络威胁

    玩家与黑客:对游戏公司和游戏玩家的网络威胁在过去的几十年中,视频游戏领域发生了翻天覆地的变化。这些变化也导致网络威胁领域的巨变,而游戏公司、游戏本身以及玩家们都开始直面这些威胁了。 云、移动应用程序和社交网络的集成、游戏和平台的多样性、流媒体的普及以及以资源整合为目的的盈利模式的变化,这些因素意味着游戏行业的攻击面比以往任何时候...

    阅读全文 作者:血梦 日期:2020-04-05 分类: 界内新闻

  • JMX远程代码漏洞研究

    JMX远程代码漏洞研究

    JMX远程代码漏洞研究前言: 前一段时间apace solr JMX因为配置不当出现远程代码执行漏洞,最近自己在看一套java系统时,发现该系统也存在JMX远程代码漏洞,于是乎就想研究下JMX这种通用型漏洞,下面我就从原理到利用对该漏洞做一个简单的梳理。 一、JMX服务和MBean J...

    阅读全文 作者:血梦 日期:2020-04-04 分类: 渗透测试

  • Syborg:一款带有断路躲避系统的DNS子域名递归枚举工具

    Syborg:一款带有断路躲避系统的DNS子域名递归枚举工具

    Syborg:一款带有断路躲避系统的DNS子域名递归枚举工具Syborg Syborg是一款DNS子域名递归枚举工具,它的扫描模式既非主动,也非完全被动的。该工具可以直接构造一个域名,然后通过指定的DNS服务器查询该域名。 Syborg配备了一个断路规避系统,这个系统的灵感来自于@Tomnomnom的ettu项目。 当你使...

    阅读全文 作者:血梦 日期:2020-04-04 分类: 神兵利器

  • WAF机制及绕过方法总结:注入篇

    WAF机制及绕过方法总结:注入篇

    WAF机制及绕过方法总结:注入篇本篇文章主要介绍WAF的一些基本原理,总结常见的SQL注入Bypass WAF技巧。WAF是专门为保护基于Web应用程序而设计的,我们研究WAF绕过的目的一是帮助安服人员了解渗透测试中的测试技巧,二是能够对安全设备厂商提供一些安全建议,及时修复WAF存在的安全问题,以增强WAF的完备性和抗攻击性。三...

    阅读全文 作者:血梦 日期:2020-04-04 分类: 渗透测试

  • 聊一聊二维码扫描登录原理

    聊一聊二维码扫描登录原理

    聊一聊二维码扫描登录原理扫二维码登录现在比较常见,比如微信、支付宝等 PC 端登录,并且好像每款 APP 都支持扫码登录,不搞个扫码登录都不好意思。作为技术人员,不知道您对这背后的实现逻辑是否敢兴趣,反正我是一直都对这背后实现好奇。最近刚好看到一个关于扫码登录原理的视频,于是就整理出来了这篇文章,希望对您有所帮助。 ...

    阅读全文 作者:血梦 日期:2020-04-02 分类: 编程相关

  • HackingTeam新活动,Scout/Soldier重回视野

    HackingTeam新活动,Scout/Soldier重回视野

    HackingTeam新活动,Scout/Soldier重回视野背景 HackingTeam是全世界知名的网络军火商,在2015年遭遇攻击后近400G的内部数据和工程化武器几乎被完全公开,在此之后一家名为Tablem的公司并购了"被破产"的HackingTeam,此后HackingTeam陷入沉寂。 360安全大脑在2018年"刻赤海峡"...

    阅读全文 作者:血梦 日期:2020-04-02 分类: 界内新闻

  • SMBGhost漏洞允许Windows系统上的提权;Holy Water黑客组织瞄准亚洲的宗教人物和慈善机构;伊朗非官方版本Telegram应用用户的4200万记录在线泄漏

    SMBGhost漏洞允许Windows系统上的提权;Holy Water黑客组织瞄准亚洲的宗教人物和慈善机构;伊朗非官方版本Telegram应用用户的4200万记录在线泄漏

    SMBGhost漏洞允许Windows系统上的提权;Holy Water黑客组织瞄准亚洲的宗教人物和慈善机构;伊朗非官方版本Telegram应用用户的4200万记录在线泄漏【全球动态】 1.Matlab 修复了 AMD CPU 代码路径 包括 Matlab 在内的许多应用程序使用了 Intel Math Kernel Library (MKL),但MKL 对竞争对手不友好,即使 AMD CPU 支持 AVX2 或 SSE3-SSE4,MKL 也...

    阅读全文 作者:血梦 日期:2020-04-02 分类: 界内新闻

  • Shiro权限绕过漏洞分析(CVE-2020-1957)

    Shiro权限绕过漏洞分析(CVE-2020-1957)

    Shiro权限绕过漏洞分析(CVE-2020-1957)前言 2020年3月23号,Shiro开发者Brian Demers在用户社区发表帖子,提醒shiro用户进行安全更新,本次更新进行了三个修复,其中就包括了对编号为CVE-2020-1957的Shrio授权绕过漏洞的修复。漏洞影响shiro 1.5.2版本以下。 ...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 渗透测试

  • SSH暴力破解姿势总结

    SSH暴力破解姿势总结

    SSH暴力破解姿势总结SSH简介      Secure Shell(安全外壳协议,简称SSH)是一种加密的网络传输协议,可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。任何网络服务都可以通过SSH实现安全传输,...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 渗透测试

  • 任意文件读取漏洞的曲折历程

    任意文件读取漏洞的曲折历程

    任意文件读取漏洞的曲折历程前言 这周授权测试了某系统,凭借着一个任意文件读取的漏洞,不断深挖,一波三折,历时将近24小时,也和Tide安全的小伙伴不断讨论,最终拿下目标的webshell。过程简直不要太美、太狗血,在此做个整理。 基本信息 目标:wy.xxx.com.cn(子域名)...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 渗透测试

  • 对一次钓鱼事件的分析

    对一次钓鱼事件的分析

    对一次钓鱼事件的分析本文是对一次钓鱼事件的分析,在下水平实在不高,请路过的高手勿喷。像网络钓鱼这种违法事件时不时地出现在我们身边,下面是本人的亲身经历。 昨天在刷空间时看到同学发了这么一条消息,留言? 打开看看,嗯,不对啊,我俩18年6月加的好友啊,这是什么情况? 带着...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 渗透测试

  • Goby——新一代安全工具

    Goby——新一代安全工具

    Goby——新一代安全工具Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。我们希望能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 神兵利器

  • 让你的SQL盲注快起来

    让你的SQL盲注快起来

    让你的SQL盲注快起来SQL 注入是当前 Web 安全中最常见的安全问题之一,其危害性也比较大,众多白帽子在渗透测试过程中往往会首先着重进行 SQL 注入的测试。盲注是 SQL 注入的重要的技术之一,在现实中的  SQL 注入案例中,往往很难将注入的结果直接回显出来。因此,盲注也就成为了 SQL 注入必不可少的...

    阅读全文 作者:血梦 日期:2020-04-01 分类: 渗透测试

关灯