• 入侵网站webshell提权服务器20种思路

    现在由于各路大神共享公开网站程序的一些Oday漏洞,使用我们获得网站webshell 比如动网常见的上传漏洞 各种网站的sql注入漏洞,爆库漏洞,溢出漏洞 等等。。 然而仅仅获得网站的webshell已经不能满足我们的需求,想通过webshell进一步获得网站的服务器的管理员权限。 下面小残在这里为大家介绍本人收集的常见的20种webshell提权思路。 1,SER-TU提权(通常是利用SERFTP服务器管...阅读全文
    作者:qxz_xp | 发布:2014年5月30日 | 分类:菜鸟入门, 黑客攻防 | 暂无评论
  • 社会工程学的几个简单技巧

    社交工程已经成为目前最盛行的攻击方式之一,而且在一些较大的数据泄漏案例中也总是出现。例如,2011年 RSA breach就遭遇了定向钓鱼和加载了漏洞的Excel文件。因此,对于有能力模拟真实攻击的企业而言,社工渗透测试应该成为每个渗透测试工具包的强制性 策略。 社工行为非常依赖心理学,有很多非常可疑的诱饵,可以让社工人员劝服人们从事某项操作。例如,Robert Cialdini...阅读全文
    作者:qxz_xp | 发布:2014年5月20日 | 分类:社工相关, 黑客攻防 | 1条评论
  • Google-Hack 渗透详细过程

    利用google完全是可以对一个站点进行信息收集和渗透的,下面用google对特定站点进行一次测试。 ————————————————————————————————————— 首先用google先看这个站点的一些基本情况(一些细节部分就略去了): site:xxxx.com 从返回的信息中,找到几个该校的几个系院的域名: http//a1.xxxx.com http//a2.xxxx.com http//a3.xxxx.com http//a4.xxxx.com 顺便ping了一下,应该是在...阅读全文
    作者:qxz_xp | 发布:2014年5月13日 | 分类:菜鸟入门, 黑客工具, 黑客攻防 | 2条评论
  • 户外物理渗透:终端机,客户端的web测试思路

    现在的客户端界面越做越好看了,很多用到了web技术,轻便、界面炫、更新快,但是这样web的缺点也就出来了,就是不稳定,容易受用户等因素影响。 因为很多客户端web是内嵌的,内部通信,所以很多对安全的考虑就很少,漏洞亦较多。在此,我想跟大家分享一下客户端的web测试思路,让大家找到更多的高质量漏洞。 首先打开一个客户端界面,如腾讯的群介绍界面。 方法一:测试F5键...阅读全文
    作者:qxz_xp | 发布:2014年5月04日 | 分类:黑客技术, 黑客攻防 | 暂无评论
  • 微软发布补丁 IE超级漏洞有救了

    4月末微软发布安全公告向用户披露了一个涉及全部版本IE浏览器的重大漏洞,而随后美国安全局更是建议暂时停用微软的浏览器产品,从而避免风险。 现在,或许是为了减少用户流失。微软已经迅速对该漏洞开出处方,帮助用户降低安全风险。 微软在编号2963983的安全通告中表示,此前发现的漏洞能够让黑客访问IE已删除或未被正确分配的内存区域,从而获得与当前活动用户账户相同的...阅读全文
    作者:qxz_xp | 发布:2014年5月01日 | 分类:业界新闻, 黑客攻防 | 暂无评论
  • 黑客圈:支付账号随意改 不花钱竟能下订单

      2001年,一场持续了7天7夜的“中美黑客大战”让不熟悉网络世界的中国人都认识到一个全新群体——黑客。网络以难以想象的速度在中国快速普及,黑客们针对网络安全而展开的黑帽白帽大战从未停歇过,2013年,全球5.52亿人因为黑客攻击泄露身份资料,而在中国,1.64亿人因为网络犯罪受到侵害,人均损失224美元。   随着智能手机日益普及,1200万个针对智能手机的恶意链接随时...阅读全文
    作者:qxz_xp | 发布:2014年4月30日 | 分类:业界新闻, 黑客攻防 | 暂无评论
  • SQLmap简介以及防火墙绕过方法

    简介     许多现实中对于网站的攻击往往是由于网站没有及时更新或者对于用户的输入没有进行检查。从缓冲区溢出说起,这样一种针对系统脆弱性的威胁,最根本的问题还是在于对于用户的输入没有进行检查。作为主要威胁之一的SQL注入带来了人们对于其应用和数据库的担忧。这个问题的出现有十年的时间了,但是现在仍旧在许多网站中出现。SQL注入就像许多当前主要的的web应用安全...阅读全文
    作者:qxz_xp | 发布:2014年4月16日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
  • “心脏出血”证实波及手机 安天推出检测插件

      OpenSSL“心脏出血”漏洞的严重性远比想象的严重。一些用户没有考虑到,手机上大量应用也需要账号登录,其登录服务也有很多是OpenSSL搭建的,因此在漏洞没有修补好之前,用手机登录过网银、网购等重要账号极容易导致用户账户信息丢失。需要在漏洞修补后及时更改密码。   安天旗下AVL移动安全团队在“漏洞”消息爆出后,迅速对主流的网银、网购、证券、航旅软件的登录入口...阅读全文
    作者:qxz_xp | 发布:2014年4月11日 | 分类:漏洞公布, 网络安全 | 1条评论
  • OpenSSL漏洞转攻个人电脑 360首推修复方案

             OpenSSL“心脏出血”漏洞危害辐射范围正在不断扩大。在思科、Juniper网络设备被曝受此漏洞影响后,Windows上大批软件也被发现存在漏洞,可被黑客利用攻击网民电脑,抓取密钥等隐私数据,而攻击代码已在国外技术网站GitHub上公开。对此360安全卫士于10日晚间紧急推出漏洞修复方案,是目前唯一可预防此漏洞的PC安全软件。  “心脏出血”漏洞刚刚曝出时,黑客主要攻击的...阅读全文
    作者:qxz_xp | 发布:2014年4月11日 | 分类:漏洞公布, 网络安全 | 2条评论
  • “心脏出血”:你需要尽快更改这些密码

    “Heartbleed”是什么?“心脏出血”漏洞,OpenSSL有史以来最具灾难性的一个漏洞,可能已经被发现和利用2年之久,前几天才公布,过多的不介绍了,知道严重性就行。 这个漏洞将影响所有使用https加密协议的网站和服务,包括且不仅包括Gmail和Facebook——这些网站可能已经被恶意人士监听,从而获取到你的重要信息,包括且不仅包括账号、密码、信用卡号密码等。 我们也不知道究竟有...阅读全文
    作者:qxz_xp | 发布:2014年4月11日 | 分类:安全知识, 漏洞公布, 网络安全 | 暂无评论
  • 黑客传说:他差点儿堵了周鸿祎的发家路

    他是全球发现苹果漏洞最多的人 他曾穷的住在小黑屋 他经常接到国家安全部门的电话 他差点堵住周鸿祎的路 无名英雄 我们最终还是没有见到吴石本人,即便他的生意合伙人刘盛(化名)已经应承了帮我们牵线。自打 2010 年他接受了《福布斯》的专访之后,这个四川男人就再也不愿意让自己曝光。 那篇文章其实还算中肯,“在上月的一次安全更新中,苹果针对 iPhone 操作系统发布...阅读全文
    作者:qxz_xp | 发布:2014年3月26日 | 分类:业界新闻, 黑客攻防 | 2条评论
  • Google Play遭遇黑客攻击 系统两次崩溃

    近日,一名黑客攻击了Google Play的应用程序发布系统,导致该系统被封锁,不能上传和更新应用程序。 周一,一名黑客攻击了Google Play(谷歌商店)的应用程序发布系统,导致该系统被封锁,不能上传和更新应用程序。 这是一个许多用户可能没有注意到运行故障,除非用户发现自己突然无法更新《糖果粉碎传奇》(Candy Crush)或者《植物大战僵尸》(Plants v. Zombies)等游戏。但谷...阅读全文
    作者:qxz_xp | 发布:2014年3月19日 | 分类:业界新闻, 黑客攻防 | 暂无评论