记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

(小白学习)记一次cobaltstrike4.0(公网映射)学习

cobaltstrike4.0下载地址:https://gitee.com/jikemofan/cobaltstrike-crackedcobaltstrike4.0-cracked.zip (破解版)cobaltstrike4.0-original.zip(原版)kali2.1安装cs4.0:cd /root/wget "ht
发布时间:2021-04-18 15:15 | 阅读:2350 | 评论:0 | 标签:学习

Tomcat学习之无文件Filter内存shell

#网络安全 8 #代码审计 8 #java安全 8 0x01 前言在前一篇,我已经把常规的Filter内存shell给调试分析了一遍,相信大家通过前一篇文章,已经对内存shell有了一定的认知和了解。不过上一篇并非是完美的内存shell,因为需要我们上传一个jsp文件,然后访问写入内存shell,这样就不太符合无文件shell的思想了,所以本篇我们就来分析下无文件的情况下我们该如何写入内存shell。0x02 Filter调试分析01 必备预习知识点在将Filter无文件内存马实现之前,我们先来巩固几个小知识点,辅助我们理解后面的内容。
发布时间:2021-04-17 18:12 | 阅读:6459 | 评论:0 | 标签:学习 shell 内存

大白话告诉你到底用不用学习这该死的Kubernetes容器化

运维就是要无所不懂,无所不知。今天分享最近集团 All In 容器化 的工作心得。虽然大家都是技术出身,但我依然会用尽可能用大白话来描述 Kubernetes 和容器化,尽可能不带代码。因为在上云的过程中,我发现,即使是有技术背景的同学,也并非所有人能很好的掌握 Kubernetes 和容器化。容器化背景介绍初识 Docker个人其实接受容器化的时间算比较早的。大概 2014 年就已经接触,并有心在公司业务中实践。工作时间比较长的朋友可能知道,那个时间节点,商业公司 EXSI 早已经一统江湖,一家独大。
发布时间:2021-04-17 10:18 | 阅读:7684 | 评论:0 | 标签:学习

学习java反序列化-Groovy的gadget了解

近期还在学习java,看了很多文章,觉得直接看java反序列化的CC链很难理解,所以先看了看Groovy,确实比那个容易理解,来一起学习学习把:先整弄一个
发布时间:2021-04-16 00:12 | 阅读:7949 | 评论:0 | 标签:java 学习 序列化

基于机器学习的自动漏洞修复分析方法

 摘要固件/软件中的安全漏洞对电网安全构成了重要的威胁,因此电力公司在发现漏洞后应迅速决定如何补救。由于要考虑的因素很多,要在打补丁和服务可靠性之间保持平衡,以及要处理大量的漏洞,因此做出补救决策在电力行业是一项具有挑战性的任务。遗憾的是,目前的修复决策都是人工做出的,需要很长的时间。这增加了安全风险,也带来了高昂的漏洞管理成本。在本文中,我们提出了一个基于机器学习的自动化框架来自动化电力公司的修复决策分析。我们将其应用于一家电力公司,并对从该公司获得的两个真实运行数据集进行了大量实验。结果表明,该解决方案具有很高的有效性。
发布时间:2021-04-15 19:31 | 阅读:6446 | 评论:0 | 标签:漏洞 学习 自动

JWT攻击学习

原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬本文转自先知社区:https://xz.aliyun.com/t/9376作者:sh0w1 JSON Web Token(JWT)是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证cookie /session /jwt 不同点1.对于一般的cookie,如果我们的加密措施不当,很容易造成信息泄露,甚至信息伪造,这肯定不是我们期望的。
发布时间:2021-04-14 19:16 | 阅读:10846 | 评论:0 | 标签:攻击 学习

计划招收300位安全爱好者,免费学习人工智能

    非常感谢大家这么长时间对我们的喜爱和关注,我们都知道,人工智能是当前的大趋势,无论是就业前景,发展空间,还是薪资待遇都是当下最为火爆的行业。所以我们特意联系了央视公开课曾推荐的万门大学,向大家赠送一份人工智能的课程。    这个课程我们已经了解过,是个可以重复观看的录播课程,课程非常系统完善。讲课老师有着丰富的实战经验,干货多,且普适性比较高,无论你是零基础的小白,还是经验丰富的大师,都可以在这个课程里斩获新的知识。
发布时间:2021-04-13 22:14 | 阅读:7690 | 评论:0 | 标签:学习 人工智能 智能 安全

JWT jku/x5u Authentication bypass 学习与实践

 0x00 前言之前对JWT的利用姿势只停留在拿到秘钥后进行身份伪造,前几天Volgactf2021遇到了一道jku的题,发现此前关于jku 权限绕过利用原理与利用手法的文章还是比较少的,趁此机会将这一块好好学一遍,希望对大家有用,欢迎大家批评指正! 0x01 jwt简介JSON Web Token (JWT)是一个开放标准(RFC 7519),通常可用于在身份提供商和服务提供商之间传递用户的身份验证信息。JWT由三部分组成,由”.”进行连接,分别是:头部(Header)有效载荷(Payload)签名(Signature)Headerheader用于标识用于生成签名的算法。
发布时间:2021-04-12 12:44 | 阅读:12273 | 评论:0 | 标签:学习

【第五期】网络空间安全实验室-自主学习

项目介绍法律法规脚本编写能力专项练习Web 安全方向Sql 注入漏洞(第五期)远程命令/代码执行漏洞(RCE)安全杂项二进制漏洞学习规则项目介绍山东警察学院网络空间安全与电子数据取证实验室成立于2015年,面向网络空间安全技术交流,研究方向包括Web安全、渗透测试、二进制漏洞挖掘与利用、电子数据取证等。社团始终坚持以赛代练,以赛促学的观念,不断参加各种CTF竞赛,提高成员技术水平,全面提升利用网络空间安全技术进行网络犯罪侦查实战和电子数据取证的能力。本项目为实验室的开源学习项目,为的是给实验室新生以及校内外正在入门网络安全的小白提供学习指导,帮助他们找到学习方向,从而帮助到更多学习者成长。
发布时间:2021-04-11 20:22 | 阅读:10507 | 评论:0 | 标签:学习 安全 网络

Tomcat内存shell学习之Filter

#网络安全 7 #代码审计 7 #java安全 7 0x01 前言说到内存shell,也就是这几年才兴起来的吧,当时刚了解的时候觉得还蛮酷的,无文件就可以实现shell功能。碍于当时学习计划的问题,没有去研究这方面的技术,现在抽空来学习一下,做个笔记,留作日后复习。我也是踩在巨人的肩膀上学习的,还是很感谢大佬们的分享,以下是结合了本人自己的理解去阐述这个知识点,如果写的不好的地方,还望多多包涵。
发布时间:2021-04-09 10:33 | 阅读:4848 | 评论:0 | 标签:学习 shell 内存

内网学习笔记 | 6、ICMP隧道工具使用

#内网学习笔记 6个 1、介绍在内网中,如果攻击者使用 HTTP、DNS 等应用层隧道都失败了,那么或许可以试试网络层的 ICMP 隧道,ICMP 协议最常见的场景就是使用 ping 命令,而且一般防火墙都不会禁止 ping 数据包。因此我们便可以将 TCP/UDP 数据封装到 ICMP 的 ping 数据包中,从而绕过防火墙的限制。
发布时间:2021-04-07 21:47 | 阅读:10725 | 评论:0 | 标签:学习

我们计划招收300位安全人,免费学习人工智能

非常感谢大家这么长时间对我们的喜爱和关注,我们都知道,人工智能是当前的大趋势,无论是就业前景,发展空间,还是薪资待遇都是当下最为火爆的行业。所以我们特意联系了央视公开课曾推荐的万门大学,向大家赠送一份人工智能的课程。这个课程我们已经了解过,是个可以重复观看的录播课程,课程非常系统完善。讲课老师有着丰富的实战经验,干货多,且普适性比较高,无论你是零基础的小白,还是经验丰富的大师,都可以在这个课程里斩获新的知识。最最重要的是,不用花一分钱便可观看全部的课程。
发布时间:2021-04-07 13:52 | 阅读:9136 | 评论:0 | 标签:学习 人工智能 智能 安全

【第四期】网络空间安全实验室-自主学习

项目介绍法律法规Web 安全方向Sql 注入漏洞(第四期)文件包含漏洞远程命令/代码执行漏洞(RCE)安全杂项二进制漏洞学习规则项目介绍山东警察学院网络空间安全与电子数据取证实验室成立于2015年,面向网络空间安全技术交流,研究方向包括Web安全、渗透测试、二进制漏洞挖掘与利用、电子数据取证等。社团始终坚持以赛代练,以赛促学的观念,不断参加各种CTF竞赛,提高成员技术水平,全面提升利用网络空间安全技术进行网络犯罪侦查实战和电子数据取证的能力。本项目为实验室的开源学习项目,为的是给实验室新生以及校内外正在入门网络安全的小白提供学习指导,帮助他们找到学习方向,从而帮助到更多学习者成长。
发布时间:2021-04-06 00:53 | 阅读:14665 | 评论:0 | 标签:学习 安全 网络

文末0Day | 从0到1学习渗透测试

1.学习课程讲师介绍 讲师id:巫师。目前就职在北京某安全企业(渗透工程师),2018滴滴年度优秀白帽子,2019美团年度优秀白帽子,2018百度前十,京东2018季度第三02学习模式与福利学习模式是怎么样的,都为线上直播方式,每节课平均在30+分钟以上,再5-10分钟答题模式,学员可私下找老师指导,请教问题。漏洞学习方面,不仅仅只有漏洞学习知识理论,当然会提供靶场复现漏洞,漏洞挖掘以及技巧,同时课程也会加入讲师挖掘过的案例来分享,讲师会私下与学员一起挖掘漏洞成长。
发布时间:2021-04-04 11:55 | 阅读:18199 | 评论:0 | 标签:0day 学习 渗透

欢欢的React学习笔记

前言学习React是今年的计划之一,再加上之前学习了Vuejs,想了解两者之间的区别,因此大致学习下React,有机会再用React写一个项目。React的三大体系•用于Web开发和组件的编写•ReactNative用于移动端开发•ReactVR用于虚拟现实技术的开发安装安装Nodejs使用Reactjs最原始的方法就是script标签引入,但这太low了,并且在工作当中也不会这样引用,因此安装Nodejs来使用react最佳~打开下面的网址,自行安装即可。
发布时间:2021-04-04 04:05 | 阅读:14947 | 评论:0 | 标签:学习

记一次burp爆破中我的学习记录

前言:在实际环境中,爆破会遇到很多种情况,这里只说其中最简单的一中:用户名密码登录,无验证码,无次数限制的登录情况。在下面,主要从实际操作的角度,结合一些在实际工作中可能用到或者说需要具备的知识进行记录。进行一个经验分享(自个摸索总结的,没人带,瞎弄)。
发布时间:2021-04-02 11:45 | 阅读:11881 | 评论:0 | 标签:学习

Fastjson1.2.24反序列化学习

 作者:江鸟@星盟Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 简单应用环境我是用idea+maven
发布时间:2021-03-31 18:13 | 阅读:22740 | 评论:0 | 标签:学习 序列化

修复虚拟学习软件中的关键安全错误

Netop是一款受众广泛的软件背后的开发公司,该软件旨在让教师远程访问学生计算机。目前为止,该公司已修复了其平台中的四个安全漏洞。研究人员说,公司Netop Vision Pro系统中的关键漏洞可以使攻击者劫持学校网络、传播恶意软件、确定学生的IP地址、进行窃听等。研究人员说,这些漏洞已于12月11日向Netop披露。到2月下旬,该公司已发布了解决一些问题的更新版本(在Netop Vision Pro版本9.7.2中)。
发布时间:2021-03-30 12:00 | 阅读:12393 | 评论:0 | 标签:学习 安全

阳春三月天,学习正当时|数据安全实践专题培训正式开课

全文共421字,阅读大约需要1分钟。阳春三月天,学习正当时。3月29日,绿盟科技网络安全学院组织举办的《数据安全实践专题培训》在美丽的西子湖畔杭州正式开课。参加培训的学员来自全国各地的银行、金融机构、保险公司以及运营商、政府等行业30余家单位,包括数据安全专员、主管以及信息安全负责人共计50余位网络安全及数据安全相关从业人员。《数据安全实践专题培训》围绕数据安全专业能力构建,整合分析绿盟科技数据安全专业服务实践,基于实际项目经验,讲解评判数据与用户权益面临的风险、组织应当如何面对数据安全挑战、以及如何保证企业数据安全风险可控等知识,确保学员能够获取数据安全专业能力。
发布时间:2021-03-29 21:24 | 阅读:14374 | 评论:0 | 标签:学习 数据安全 安全

【第三期】网络空间安全实验室-自主学习

项目介绍法律法规Web 安全方向Sql 注入漏洞(第三期)文件上传漏洞文件包含漏洞远程命令/代码执行漏洞(RCE)密码学安全杂项二进制漏洞学习规则项目介绍山东警察学院网络空间安全与电子数据取证实验室成立于2015年,面向网络空间安全技术交流,研究方向包括Web安全、渗透测试、二进制漏洞挖掘与利用、电子数据取证等。社团始终坚持以赛代练,以赛促学的观念,不断参加各种CTF竞赛,提高成员技术水平,全面提升利用网络空间安全技术进行网络犯罪侦查实战和电子数据取证的能力。
发布时间:2021-03-28 12:24 | 阅读:17318 | 评论:0 | 标签:学习 安全 网络

【春日福利】IT 充电季,学习正当时

三月、四月,草长莺飞,万物蠢蠢欲动。对于身在职场的人来说,这更是一个心思躁动的季节。每年的金三银四都是求职、跳槽的最好时节,无论你是
发布时间:2021-03-26 19:33 | 阅读:23022 | 评论:0 | 标签:学习

Libfuzz-workshop学习指南(一)

 该系列课程我们将跟随libfuzzer-workshop来学习libfuzz这个fuzz框架。该系列一共有12课,其列表如下:1.介绍fuzz测试2.传统Fuzz技术案例3.代码覆盖率fuzz4.写fuz
发布时间:2021-03-26 14:47 | 阅读:19557 | 评论:0 | 标签:学习

基于深度学习的城市轨道交通信号系统入侵检测方法

摘要:随着城市化进程不断推进,城市轨道交通作为人们出行的主要交通工具之一,越来越重要。城市轨道交通系统的信息安全问题已经引起了各方的广泛关注。针对城市轨道交通信号系统中常用的RSSP-Ⅱ安全通信协议,本文提出一种基于深度学习的入侵检测方法。通过实验对4类网络攻击的精度和误差进行对比,结果表明,该方法不仅可以大幅度缩短训练时间,而且在识别攻击行为的测试中,比常用的检测方法有更好的精度、更低的误报率和更短的时间效率。
发布时间:2021-03-26 11:22 | 阅读:22662 | 评论:0 | 标签:入侵 学习

赠书福利 | 快来拿书学习吧

网络攻防实战研究:MySQL数据库安全转发朋友圈即可参与本次送出10本书喔它可以说是新手入门小白的必备书籍 从零开始搭建MySQL渗透测试及分析
发布时间:2021-03-26 00:41 | 阅读:15636 | 评论:0 | 标签:学习

qemu逃逸学习

 qemu的基本知识qemu 的内存配置 Guest' processes +--------------------+Virtual addr space | | +--------------------+ | | __ Page Table __ | | Guest kernel +----+--------------------+--------
发布时间:2021-03-25 11:42 | 阅读:13312 | 评论:0 | 标签:学习

人工智能和机器学习对美国政治的影响

文| 袁纪辉 中国信通院互联网法律研究中心助理研究员美国智库已针对人工智能技术应用的社会负效应问题刊发出一系列报告,对上述报告进行学习总结、编译分享有助于我国相关机构准确识别相关问题、积极防御相关风险。本文特选取美国战略和国际问题研究中心(CSIS)发布的《人工智能和机器学习对美国政治的影响》(The Evolving Role of Artificial Intelligence and Machine Learning in US Politics)[1]报告,对报告内容进行编译、提炼、整理。整理内容如下,供参考。
发布时间:2021-03-24 21:23 | 阅读:15673 | 评论:0 | 标签:学习 人工智能 智能 美国

什么是机器学习治理?

  【IT168 评论】组织为什么要在机器学习治理上挣扎?当我们要为组织解决机器学习治理时,我们看到客户面临五个主要挑战。  机器学习模型治理是组织如何控制访问、实现策略和跟踪模型活动的整个过程。这是降低模型失效、法规遵从性和攻击风险的必要条件。治理是将组织的底线和品牌风险最小化的基础。具有有效机器学习治理的组织不仅具有对模型在生产中的运行方式的细粒度控制和可见性,而且通过将AI/ML治理策略与IT策略的其余部分集成,它们可以释放运营效率。  通过治理,组织可以了解可能影响模型结果的所有变量,从而帮助他们快速识别和缓解可能降低结果准确性和应用程序性能的问题(例如模型漂移)。
发布时间:2021-03-24 03:02 | 阅读:19894 | 评论:0 | 标签:学习

Pwn堆利用学习——LCTF_2016_pwn200

本文为看雪论坛优秀文章看雪论坛作者ID:直木House of Spirit(hos)是一个组合型的漏洞利用,是变量覆盖和堆管理机制的组合利用。是构造一个 fake chunk,然后释放掉它,这样再次申请的时候就会申请它。具体来说,关键在于能够覆盖一个堆指针变量,使其指向可控的区域,只要构造好数据,释放后系统会错误的将该区域作为堆块放到相应的fast bin里面,最后再分配出来的时候,就有可能改写我们目标区域。利用场景1. 想要控制的目标区域的前段空间与后段空间都是可控的内存区域。
发布时间:2021-03-23 19:30 | 阅读:16430 | 评论:0 | 标签:学习 CTF

基于深度学习的webshell检测

#webshell检测 1 #深度学习 1 1.背景介绍Webshell是一种基于web应用的后门程序,是黑客在入侵过程中经常使用的一类恶意工具之一。web渗透中黑客可以利用特定的Webshell获取服务器权限,进而进行服务器文件操作、数据库操作以及盗取用户私密信息等。业务背景:将基于AI的webshell检测引擎作为重保/护网项目的样本检出插件使用。业务目标:建立webshell检测模型,对输入样本进行解析和识别,并输出该样本的标签。2.数据理解及处理Webshell脚本文件的类型有php、jsp、asp、aspx等,其中php样本占webshell样本的70%左右。
发布时间:2021-03-23 16:54 | 阅读:12328 | 评论:0 | 标签:学习 shell

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云

本页关键词