记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Java & Python 未修复漏洞导致跨越防火墙大混乱

发现该漏洞的程序员说:当你找到进入邮件服务器的路时,事情就变得好玩了。 Java & Python有个可以用来翻越防火墙的漏洞。因为俩漏洞都还没被补上,或许今儿是催促你公司开发人员的好日子。 该Java漏洞意味着,通过其FTP实现进行的协议注入,可欺骗防火墙放行互联网TCP连接接入内部主机。 亚历山大·科林克和 Blindspot Security 公司的蒂莫西·摩根,对这两个漏洞有进一步的阐述。 科林克的发现是:Java的 XMLeXternal Entity (XEE)错误处理了FTP连接,因为它没有对Java传到服务器的用户名进行语法检查。 特别是,cr和lf应该是拒绝接受的,但却被放行,让非FTP命令得以注入到连接请求中。科林克的证明展示了如何在FTP连接尝试(即便连接失败)中发送SMTP电子
发布时间:2017-02-22 21:45 | 阅读:107629 | 评论:0 | 标签:威胁情报 FTP Java 安全漏洞 防火墙 漏洞

brut3k1t:服务端暴力破解工具

项目主页 https://github.com/ex0dus-0x/brut3k1t 简介 brut3k1t是一款支持多种协议的服务端的暴力破解工具,目前支持的协议有: ssh ftp smtp XMPP instagram facebook 将来会实现更多协议和服务(包括Twitter,Facebook和Instagram) 安装 安装简单。brut3k1t需要几个requires: argparse – 用于解析命令行参数 paramiko – 用于SSH连接和认证 ftplib – 用于FTP连接和认证 smtplib – 用于与SMTP (email) 连接和认证 fbchat – 用于与Facebook连接 selenium &
发布时间:2016-11-21 18:50 | 阅读:171554 | 评论:0 | 标签:工具 brut3k1t Facebook FTP smtp SSH 爆破工具 暴力破解

Windows提权基础

介绍 这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。 在这篇文章的底部有一个非常好的资源列表。 操作系统 让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。 确定操作系统的名字以及版本: 检查系统的体系结构: 注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。 查看所有环境变量: 查看计算机上所有用户的列表: 或查看某个用户的详细信息: 网络 查看系统的网络设置—基本网络、路由、防火墙等。 查看可用的网络接口: 查看路由表: 查看ARP缓存: 查看防火墙
发布时间:2016-09-19 13:30 | 阅读:120317 | 评论:0 | 标签:内网渗透 FTP shellcode VBS Windows提权 WMIC 工具 提权 权限提升 漏洞库 规则 路由表

Oracle数据库XXE注入漏洞(CVE-2014-6577)分析

在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁。 有关XXE的相关知识,可以查看安全脉搏站内的另一篇文章《未知攻焉知防——XXE漏洞攻防》。 漏洞描述 Oracle数据库的XML解析器模块容易受到XML外部实体(XML External Entity , XXE)注入。 受影响版本:11.2.0.3, 11.2.0.4, 12.1.0.1 和12.1.0.2 所需权限:创建会话(CREATE SESSION) 技术细节 因为Oracle中XML解析器的安全特性,外模式得到了解决,但是并不解析。 这可以防止某些XXE注入攻击,例如读取远程数据库服务器上的本地文件。 然而,攻击者可以发送精心编制的SQL查询来触发
发布时间:2015-02-04 05:00 | 阅读:110906 | 评论:0 | 标签:系统安全 !ENTITY CVE-2014-6577 extractvalue() FTP HTTP ORA-31020

Shell实现FTP上传文件夹

#!/bin/bash updir=/root/sk #要上传的文件夹 todir=sk #目标文件夹 ip=127.0.0.1 #服务器 user=leo #ftp用户名 password=123456 #ftp密码 sss=`find $updir -type d -printf $todir/'%Pn'| awk '{if ($0 == "")next;print "mkdir " $0}'` aaa=`find $updir -type f -printf 'put %p %P n'` ftp -nv $ip <<EOF user $user $password type binary prom
发布时间:2013-02-20 16:45 | 阅读:140562 | 评论:0 | 标签:Shell 网络转载 FTP

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云