记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

后台渗透之sql注入登录

前言      最近一直在划水,沉迷于dota2与项目工作中,有些同学公众号留言说:你这鹦鹉博客改名叫鹦鹉资源站得了,除了没事更新俩资源干货半年都不见一篇,趁今天群里有人问后台这块的内容,写几篇后台渗透的常用思路,有兴趣接触信息安全的童鞋可以学习下,大牛可以绕过。正文      有句话叫做找到后台基本就脚已经跨一半进去了,一点都不夸张,大型企业也好,还是红蓝测试也罢,你不会扫到对方后台地址,但是百分之九十五的网站都是通用程序也懒得改后台地址,所以当找到后台以后如何进行安全测试?第一个姿势也是最简单常用的方式,试试有没有sql注入。原理一般Mysql数据库查询语句:select name.passwd from users where username=
发布时间:2020-04-03 00:10 | 阅读:510 | 评论:0 | 标签:注入 渗透

再次发生!万豪酒店数据泄露520万客户的记录

2018年万豪酒店被曝发生了史上最严重的数据泄露事件之一,万豪的股价已经从今年2月份的150.78美元跌至69.15美元(截止收盘时间4月1日),市值从500亿美元减至不足250亿美元,在全球因疫情影响大量酒店关闭期间万豪酒店大幅裁员,紧接着又被爆出此次大规模的数据泄露事件,据悉约有520万客户信息受到波及。万豪国际在其数据泄露通知中回应,最近一次数据泄露事件始于1月中旬并一直持续到2月底,并且显然没有泄露支付卡信息。但是该违规行为确实暴露了电子邮件地址、邮寄地址和其他个人身份信息。万豪说:“尽管事件的调查正在进行中,暂无信息表明此次泄漏数据涉及万豪账户密钥、支付卡信息、护照信息、身份证或驾驶证。”(万豪国际官方声明:https://mysuppo
发布时间:2020-04-02 20:42 | 阅读:653 | 评论:0 | 标签:泄露

基于稀疏表示的物联网边缘僵尸网络攻击检测

 物联网(IoT,Internet-of-Things)旨在通过感测,处理和分析从异构IoT设备获得的大量数据,以无缝方式互连成千上万个智能对象/设备。面向物联网基础设施的这种快速发展,是以通过基于物联网的僵尸网络攻击和增加安全威胁为代价的。在这项工作中提出了一种基于稀疏表示框架(sparsity representation)的物联网僵尸网络攻击检测方法,该方法使用重建错误阈值规则识别来自受感染的物联网设备的边缘恶意网络流量。僵尸网络攻击检测是基于小型良性IoT网络流量数据执行的,因此没有关于恶意IoT流量数据的先验知识。在基于物联网的真实网络数据集上展示了结果,并展示了提出的技术针对基于重构错误的自动编码器方法的有效性。 0x01 Absert物联网技术在最近
发布时间:2020-04-02 20:26 | 阅读:652 | 评论:0 | 标签:攻击 僵尸网络

CVE-2020-10199: Nexus Repository Manager代码执行通告

 0x01 漏洞背景2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在通过认证的情况下,攻击者可以通过JavaEL表达式注入造成远程代码执行。Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。 0x02 风险等级360CERT对该漏洞进行评定评定方式等级威胁等级高危影响面一般360CERT建议广大用户及时更新 Nexus Repository Manager 版本。做好资产 自查/自检/预防 工作,以免遭受攻击。 0x03 影响版本Nexus Reposi
发布时间:2020-04-02 20:26 | 阅读:733 | 评论:0 | 标签:CVE

CVE-2020-0796 Windows SMBv3 LPE Exploit POC Analysis

Author:SungLin@Knownsec 404 Team Time: April 2, 2020 Chinese version:https://paper.seebug.org/1164/ 0x00 BackgroundOn March 12, 2020, Microsoft confirmed that a critical vulnerability affecting the SMBv3 protocol exists in the latest version of Windows 10, and assigned it with CVE-2020-0796, which could allow an attacker to remotely ex
发布时间:2020-04-02 20:19 | 阅读:597 | 评论:0 | 标签:exp CVE

万豪再曝520万客户信息泄露,酒店业如何打赢数据安全保卫战?

本周二,万豪(Marriott)披露了旗下连锁酒店的又一起客户数据泄露事件,事件已导致520万客户信息泄露。而这已经这家跨国连锁酒店企业第二次曝出大规模的数据泄露事件了。去年,万豪刚刚为 2018 年的数据泄露向英国数据保护监管机构交了1.24亿美元罚款。在那一次的事件中,有3.39亿客户的记录遭到泄露,有超过500万个未加密的护照号码被盗。时隔不到两年,万豪又再一次跌倒在数据安全面前。  今日截至发稿时,万豪股价盘前下跌了7.08%。在这之前,从2月21日至3月31日,受疫情影响,万豪的股价腰斩,市值已经跌了一半。除了万豪,希尔顿酒店也在 2015 年遭遇了两次不同的
发布时间:2020-04-02 20:16 | 阅读:564 | 评论:0 | 标签:数据安全 泄露

天龙八部单机版地图

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开上海一幼儿园男幼师被曝性侵 园方回应:非常愤怒,等待警方调查结果打开铁莲花,古代专惩女子的一种酷刑打开CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开App内打开《天龙八部单机版》地图IT知识解析快传号 | 2018-07-12关注《天龙八部单机版》是由智冠科技推出的一款武侠单机游戏,发行于2002年,游戏自由度很高,地图庞大,因为发行的时间很早,所以也没有地图指引,大家可能对方位不是太熟悉,下面是一张天龙八部单机版地图。360浏览器,你关心的都在这里
发布时间:2020-04-02 20:15 | 阅读:688 | 评论:0 | 标签:漏洞列表

忘什么什么以

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开上海一幼儿园男幼师被曝性侵 园方回应:非常愤怒,等待警方调查结果打开铁莲花,古代专惩女子的一种酷刑打开CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开App内打开忘什么以成语2017-05-14问答 / 查看原文忘什么以成语创建于 2017-01-151个回答aa44531682017-01-16忘啜废枕: 指不食不眠。忘乎其形: 犹忘形。形容得意或兴奋得失去常态。忘恩失义: 忘掉他人对己的恩德,做出背信弃义的事情。忘恩负义: 忘掉他人对己的恩德,做出背信弃义的事情。忘餐废寝: 忘记了睡觉,顾不得吃饭。形容对某事专心致志或忘我地工作、学习。忘象得意: 忘记物象,得到真谛。忘生舍死: 忘却性命,不怕牺牲。忘
发布时间:2020-04-02 20:15 | 阅读:626 | 评论:0 | 标签:漏洞列表

暴雪客服电话人工服务

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开上海一幼儿园男幼师被曝性侵 园方回应:非常愤怒,等待警方调查结果打开铁莲花,古代专惩女子的一种酷刑打开CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开App内打开暴雪客服人工电话2017-12-15问答 / 查看原文暴雪客服人工电话创建于 2016-07-17帐号疑似被盗,球电话1个回答gedte63kx2016-07-18网易战网团队客服电话:0571-28090163人工服务时间:9:00~21:00(全年)“账号服务”请按1“消费类问题”请按2《魔兽世界》用户请按3《星际争霸Ⅱ》用户请按4《炉石传说》用户请按5《风暴英雄》用户请按6《炉石传说》用户请按7《守望先锋》用户请按8360浏览器,你关心的都
发布时间:2020-04-02 20:15 | 阅读:631 | 评论:0 | 标签:漏洞列表

DDG僵尸网络频繁更新攻击Linux系统挖矿

DDG僵尸网络频繁更新攻击Linux系统挖矿2020-04-02 15:10:43DDG僵尸网络主要通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。病毒的挖矿行为会对服务器性能产生极大影响。一、概述 DDG僵尸网络最早出现于2017年,主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文
发布时间:2020-04-02 19:44 | 阅读:673 | 评论:0 | 标签:linux 攻击 僵尸网络

【牛人访谈】甲方观点:暴露面资产管理的“柳暗“与”花明”

古有智者云:“万物莫不相对,万物莫不相异”,同与异其实是对立面的统一,凡事并没有绝对的标准,一切的是非对错皆是相对而言,所谓盛极而衰、否极泰来。有时事件的逻辑看似走向单一,实则会在多个维度殊途同归。互联网暴露面上的日常攻防,也正是如此。身处其中之人,才可窥见妙门。树大招风随着中国经济的崛起,中国互联网行业迎来了最好的机遇,经过二十年的高速发展已经深入并改变社会生活的各个方面,如:网上办公系统、视频会议系统、电话语音系统、互动式系统、门户型系统等极大地提高了企事业单位的办公效率。但同时,不断加大的信息系统建设投入使得企业中的IT资产数量迅速增加,网络规模爆炸式扩张。正所谓树大招风,数量众多的IT资产和庞大的网络规模,给企业资产管理工作带来了巨大挑战,也给信息系统安全带来了严重威胁。愈演愈烈的网络安全威胁已经成为国
发布时间:2020-04-02 17:55 | 阅读:761 | 评论:0 | 标签:牛人访谈 首页动态 企业资产管理 态势感知 暴露面资产管理 漏洞检测

赛宁谈靶场:国际分析及理想化模型

导语赛宁网安聚焦网络安全攻防对抗核心技术,是国际领先的专业网络靶场提供商,产品远销全球二十多个国家。“赛宁谈靶场”是赛宁网安结合市场需求,以及自身多年实践积累推出的系列文章,围绕网络靶场领域国际形势、理想靶场模型、最佳实践等进行的深入探讨。网络靶场全景化视图网络靶场概述赛博空间与物理空间的界线不再清晰,针对赛博空间的网络攻击也从造成系统故障、经济损失转变为造成社会瘫痪、危害生命安全与国家安全。2019年,针对美国巴尔的摩市政府的勒索软件攻击,让整个政府政务系统停摆数周。针对新奥尔良市政府的网络攻击迫使路易斯安那州宣布州紧急状态,是该州历史上的第一个由网络攻击而非自然灾害引起的紧急状态。在新型冠状病毒全球爆发期间,针对国家公共卫生部门的网络攻击导致公
发布时间:2020-04-02 16:17 | 阅读:1064 | 评论:0 | 标签:无

三年安全人才培养计划出炉 阿里安全面向高校发布“青色计划”

有什么职业可以时不时和国际顶尖黑客切磋一二,还能提升技术在不同场景的适用能力?来阿里安全就对了。作为阿里巴巴集团最为神秘的部门,阿里安全近日正式启动2020年校园招聘计划,并面向高校在校生发布“青色计划”招募令。数字基建的风口为网络安全行业带来全新的发展机遇,“青色计划”作为阿里安全面向高校年轻群体的三年人才培养计划,将建设顶级安全技术发展与交流平台,与高校通过科研、产品等多种合作方式,培养未来安全人才,尤其将沉淀多年的安全能力和经验向更多有志于安全攻防的年轻人输出。安全对抗能力的最好练兵场在常人眼中的网络空间,看似波澜不惊,实则暗潮涌动。云服务商巨头亚马逊AWS的DNS服务器遭DDoS攻击15个小时;16家网站6.17亿用户信息在暗网被售卖;攻击
发布时间:2020-04-02 16:17 | 阅读:851 | 评论:0 | 标签:无

CVE-2020-0796 Windows SMBv3 LPE Exploit POC 分析

作者:SungLin@知道创宇404实验室 时间:2020年4月2日0x00 漏洞背景2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞,并分配了CVE编号CVE-2020-0796,该漏洞可能允许攻击者在SMB服务器或客户端上远程执行代码,3月13日公布了可造成BSOD的poc,3月30日公布了可本地特权提升的poc, 这里我们来分析一下本地特权提升的poc。0x01 漏洞利用原理漏洞存在于在srv2.sys驱动中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候调用函数Srv2DecompressData处理压缩数据时候,对压缩数据头部压缩数据大小OriginalCompressedSegmentSize和其偏移Offset的没有检
发布时间:2020-04-02 15:54 | 阅读:1002 | 评论:0 | 标签:exp CVE

日日摸处处碰天天看

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开上海一幼儿园男幼师被曝性侵 园方回应:非常愤怒,等待警方调查结果打开罗永浩直播首秀销售额1.7亿 薇娅卖火箭打开CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开App内打开日日摸时时摸很恨2014-12-08问答 / 查看原文日日摸时时摸很恨创建于 2013-05-05日日盼夜夜盼重逢之日相距之日深远,真诚心心相连爱与优愁恨实晚一碗碗谷子一碗碗米面对面睡觉含想你1个回答Escortbjc2013-05-06陕北民歌 信天游一碗碗个谷子两碗碗米面对面睡觉还呀么还想你只要和那妹妹搭对对 铡刀剁头也不呀后悔 要吃那砂糖化成水,要吃那冰糖嘴对嘴一碗那凉水一张纸,谁坏了那良心哟谁先死半夜里想起了干妹妹,狼吃了哥哥不
发布时间:2020-04-02 15:50 | 阅读:522 | 评论:0 | 标签:漏洞列表

中央气象台1一7天降水

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开上海一幼儿园男幼师被曝性侵 园方回应:非常愤怒,等待警方调查结果打开罗永浩直播首秀销售额1.7亿 薇娅卖火箭打开CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解打开360浏览器打开App内打开中央气象台卫星云图1-7天降水2018-09-30问答 / 查看原文中央气象台卫星云图1-7天降水创建于 2013-11-271个回答nrhsaj2017-07-01在卫星云图中,绿色代表陆地,兰色带表海洋,白色代表云团。卫星云图是绕地球运行的卫星在几百公里到几万公里的高空所摄拍的云层顶部的图像,一般分为白、绿、蓝三种颜色。其中会滚动的白色区,表示地球上空云层,白色越浓表示云层越厚,在云层覆盖和即将覆盖的地方,将会出现阴雨天气。而在冬天
发布时间:2020-04-02 15:50 | 阅读:598 | 评论:0 | 标签:漏洞列表

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云