0x01 获取webshell在各种信息搜集中，发现某个ip的端口挂着一个比较老的服务。首先看到了员工工号和手机号的双重验证，也不知道账号是什么结构组成的，基本上放弃字典爆破这一条路。于是乎打开...

 小编的话 《安全参考》2014年10月第22期终于又如约跟大家见面了！为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。小伙伴们，让我们一起分享这丰富精彩的安...

(此方法只适用于特定环境，勿喷，求评论)0x01呕吼，各位大表哥们，又是我，影子，上次说了一下arp内网欺骗，但是我是搞Web的啊，我搞这干嘛?(手动狗头)今天来次实战求评论，求反响本文涉及知识...

本文作者：是大方子（Ms08067实验室核心成员）总结与反思使用magento漏洞的利用magescan 工具的使用靶机介绍靶机IP：10.10.10.140kali：10.10.12.69先用nmap来对靶机进行探测nmap ‐sC&nbs...

本期主题为使用不安全的随机值的相关介绍。一、什么是使用不安全的随机值?软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。产生原因：计算机是一种按照既定算法运行的机器，因...

0x00 前言在上篇文章《通过COM组件IFileOperation越权复制文件》介绍了通过COM组件IFileOperation越权复制文件的三种方法，我们得出一个推论：对于explorer.exe(或是模拟成explorer.exe)，加载...

加密恶意加密流量的检测始终是行业的一个难点和痛点。病毒病毒我们通常称为感染式的恶意程序，它最大的特点就是通过感染其他正常文件的方式来进行传播。感染正常文件有很多种不同的情况，比如说...

简要越权漏洞是比较常见的漏洞类型，越权漏洞可以理解为，一个正常的用户A通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽，对信息进行增删改查的时候没有进行一个判断，判...

一、什么是CSRF漏洞?CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，例如以你的名义...

环境搭建三台虚拟机，拓扑如下：看一下网络配置。VM1双网卡，第一个桥接一个VMnet2，桥接的作用是模拟将其web服务暴露在外网。攻击机是在桥接网卡的网络中。VM2、VM3全部是VMnet2，测试后是可以...