台部落温柔小薛

linux提權內容也蠻多的，大部分內容還是看的各位前輩的文章，這個文章算是幾篇文章的結合，參考文章寫在了文末，感謝各位前輩無私的奉獻！ Linux常用滲透命令學習以下12類命令：系統信息查看類、文件目錄類、驅動掛載類、程序安裝

2020-05-05 08:25:05

提權後期密碼安全性測試雖然我們已經有了管理員權限，但是我們最好是有管理員密碼進行擴展攻擊，很多管理員賬號密碼都設置成一樣的，攻下一臺就可以拿下所有，同時遠程連接時，比如使用木馬，很容易被發現或者清理，如果用管理員賬號，可以清除

2020-05-05 08:25:05

windows提權幾天學了windows提權相關知識，到了五一放假了，適當放鬆一下學習時間長度，但是不能斷了學習頻率，不能一天一點都不學啊，感覺linux和windows提權這裏的很多命令都不熟悉，看着這好幾十條命令，有種背英

2020-05-05 08:25:05

WAF創建賬號繞過除此之外要注意的，在有了webshell權限後在敏感操作（一些命令）時，例如360會有提示警告解決先取本地明文密碼哈希值工具 lazagne getpass KIWICMD

2020-05-01 22:58:44

webshell後門分析什麼是WebShell 顧名思義，“web”的含義是需要服務器開放web服務；“shell”的含義是取得對服務器某種程度上操作權限。webshell常常被稱爲匿名用戶（入侵者）通過網站端口對網站服務器的某

2020-05-01 22:58:44

滲透獲取webshell思路總結又坐一天沒動地方哈，但是感覺還是有一些沒真整明白，也沒總結的特別全面細緻，今天先發出來，明天再花時間再整理一下，這個問題也是很多面試中常見問題，我認爲值得花些時間來研究。今天就從CMS和非CM

2020-05-01 22:58:44

人工源代碼審計人工代碼審計主要用在白盒測試，其實個人感覺就是更加深入的滲透測試，普通滲透測試感覺更傾向於黑盒，今天就是大概瞭解一下，這一門學問深入學得要很深的開發功底，這裏就是作爲滲透測試的輔助手段學一學吧，先有個認識，相關資料

2020-04-29 02:06:47

WAF文件上傳繞過沒啥好說的抓包一個個試着改就完了一般防禦都是採用的黑名單先看看有沒有文件解析漏洞可以利用（中間件或框架的之間講過了）也可以試試把代碼嵌入圖片（很有用，具體參考文件上傳那）突破0，文件名前綴加[0x0

2020-04-29 02:06:47

安全開發生命週期簡單瞭解，不做重點，很多資料沒有啃，要學完需要兩個月… 今天還學了waf繞過，寫了一半存草稿了，最近要早睡點，要犯頸椎病，還是得堅持跑步什麼是應用開發生命週期安全管理？結合應用開發的需求、設計、開發、測試、上

2020-04-29 02:06:47

工具源代碼審計簡單記一下，很多工具都是收費的，資料很少，今天安全開發生命週期學了一半存草稿了，明兒總結完一起發吧最近都是偏理論的一些安全知識了，有一丶丶枯燥啦 Fortify 漏洞審計分析主頁面包含的信息分級報告漏洞的信息

2020-04-29 02:06:47

waf注入繞過這樣算是面試過程中比較經典的一個問題了網站WAF是一款集網站內容安全防護、網站資源保護及網站流量保護功能爲一體的服務器工具。功能涵蓋了網馬/木馬掃描、防SQL注入、防盜鏈、防CC攻擊、網站流量實時監控、網站CP

2020-04-29 02:06:47

業務安全問題一些生產環境中可能出現的實際問題，我認爲這不只是滲透測試工程師需要針對的，也是一些開發人員需要意識到的賬戶安全盜號、撞庫等身份盜用問題 “撞庫”攻擊的形式嘗試登錄大量【用戶名+密碼】組合利用已

2020-04-25 17:43:51

APT攻擊方式主要就是一些掛馬的小工具圖片僞造掛馬製作工具： KilerRat exe_to Resource hack（可以做到修改程序頁面等許多信息） peid查殼工具什麼是程序的殼？爲了保護源代碼，不被破解，對程序

2020-04-25 17:43:51

邏輯漏洞概述 SQL 注入,文件上傳,代碼執行,我們把滲透一個站點的所有重點都放在了這些可以一步到位的漏洞上,我們把這些漏洞稱之爲高危漏洞,這些漏洞在工具化盛行的今天,已經越來越難見到了.現有的工具檢測這些主流漏洞的能力已經非常的

2020-04-25 17:43:51

簡介與敏感信息收集想起了道哥名言，人才是最大的漏洞，今天兒終於學到傳說中非常神奇的社工了，之前看的電影中其實有很多取材於真實的手段，比如針對垃圾處理不完全進行復原破解利用；平時也看過很多社工的案例，護網行動中也有比較出名的事件

2020-04-25 17:43:51