欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 入侵安全检测创科网络
  • 无意间打开我的XSS平台,发现居然16年X的一个XSS居然返回了信息 我记得当时是因为找不到后台,现在有后台的 猛然想起有注入 cmd5又要收费,不过不止cmd5查的到 然后趁着时间,我看了看他建站系统的官网这......
  • 所属分类:网站安全 更新时间:2017-01-16 相关标签: 阅读全文...
  • 如何用技术手段知道男/女朋友的社交账号密码
  • 蕾蕾一直没有想明白,身高1米8,又帅又体贴的峰峰为什么看上了自己?要知道,峰峰的前女友可是身材高挑、肤白貌美的小美女。最近,蕾蕾从峰峰身后路过时,“一不小心”看到了峰峰在聊天,而“小美女”的头像一直在跳......
  • 所属分类:网站安全 更新时间:2017-01-14 相关标签: 阅读全文...
  • 如何找到SQL注入中的盐
  • 很多人说 Web 应用渗透测试是一个应用已有工具和方法的已知区域,但其实每个项目都会遇到一些新的技术和令人感兴趣的新场景,这些挑战令人兴奋。我们从相对简单的 SQL 盲注入手,展现其如何被利用到可以执行远程代码......
  • 所属分类:网站安全 更新时间:2017-01-11 相关标签: 阅读全文...
  • 超越检测:利用Burp Collaborator执行SQL盲注
  • 一直一来,我们的大部分的渗透测试项目都是围绕着Web应用程序和/或涉及数据库后端的。对于围绕着Web应用程序的测试项目来说,通常使用Burp套件会更方便一些,同时,Burp套件还内置了相应的扫描器,所以可以用来识别......
  • 所属分类:网站安全 更新时间:2017-01-10 相关标签: 阅读全文...
  • 对斐讯Fir302B路由器进行的渗透测试
  • 0×00 固件发布站弱口令+sql注入 fir302b的板子还是比较友好的,拆开能直接看到GND TX RX VCC,虽然没有针脚。 我手头只有一块ttl开发板和三根杜邦线,直接连上UART: 自检结束后,能看到两处post请求,把当前的......
  • 所属分类:网站安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 如何攻击 IP 摄像头并搭建分析环境?
  • 我写这文章是为了分享我对 Edimax 生产的 IC-3116W IP 摄像头的分析经验。本文聚焦于如何开始分析 IP 摄像头,当然本文提到的工具同样适用于分析其他的设备。首先,我会介绍如何获取目标固件,并利用固件来收集信息......
  • 所属分类:网站安全 更新时间:2017-01-08 相关标签: 阅读全文...
  • 关于sql注入的一些理解
  • sql注入是渗透最基础的东西我个人对sql注入的理解就是浏览器提交给服务器端的数据,在服务器端没有进行过滤,并带入数据库查询。要想彻底研究sql注入还得随便写一个页面 代码如下(注释写了好久...) 数据库的......
  • 所属分类:网站安全 更新时间:2017-01-03 相关标签: 阅读全文...
  • 基于约束条件的SQL攻击
  • 目前值得高兴的是,开发者在建立网站时,已经开始关注安全问题了——几乎每个开发者都知道SQL注入漏洞了。在本文中,我将为读者介绍另一种与SQL数据库相关的漏洞,虽然它的危害性与SQL注入不相上下,但目前......
  • 所属分类:网站安全 更新时间:2016-12-31 相关标签: 阅读全文...
  • 网站安全检测具体说的是什么?
  • 网站安全检测,也称网站安全评估、网站漏洞测试、Web安全检测等。 它是通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,提醒网站管理员及时修复和加固,......
  • 所属分类:网站安全 更新时间:2016-12-23 相关标签: 阅读全文...
  • 渗透O2O内网全过程
  • 今天团队有个新来的,投稿就是这篇内网渗透,按我的审核标准是pass的 无奈人家是关系户,和另外一位核心认识,我也不太好意思拒绝就给过了。 大家看看就好,不足之处,随意取笑。 以下是原文: 漏洞挖掘: 某O2......
  • 所属分类:网站安全 更新时间:2016-12-20 相关标签: 阅读全文...
  • SQLMAP注入json格式数据
  • 当注入点在json格式数据中时,SQLMAP可能会犯傻,导致找不到注入点, 使用-p指定参数又不好指定json格式中的字段, 这个时候就需要人工修改一下注入的json数据,使SQLMAP能够找到注入参数: 导致SQLMAP犯傻的json......
  • 所属分类:网站安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • 写在SQL注入后
  • 1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行; 2. 查询语句中无法执行DML或DDL操作,也就是说如果被调用的函数里有insert、u......
  • 所属分类:网站安全 更新时间:2016-12-17 相关标签: 阅读全文...
  • 渗透哈尔滨大学全过程
  • 本文仅作技术研究,勿做违法犯法的事,文章版权归作者所有! 目标是http://www.hrbnu.edu.cn,大学一般都是有内网的。我简单收集了一些信息,一般然后我喜欢用GOOGLE搜索注入点http://jy.hrbnu.edu.cn这个二级域名有......
  • 所属分类:网站安全 更新时间:2016-12-16 相关标签: 阅读全文...
  • 京东数据疑似外泄:超过12个G,涉及数千万用户
  • 最近,黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。 而黑市买卖双方皆称,这些数据来自京东。 京东方对此表示,正在紧急......
  • 所属分类:网站安全 更新时间:2016-12-12 相关标签: 阅读全文...
  • 利用Powershell和PNG在Imgur上投毒
  • 前言 随着许多恶意软件作者开始把PE文件嵌入到图像中,这已经引起了安全研究人员的注意,几个月前卡巴斯基就发表了一篇使用PNG分发恶意软件的有效载荷的研究文章。让人遗憾的是,虽然这些图像的分辨率仅有63x......
  • 所属分类:网站安全 更新时间:2016-12-10 相关标签: 阅读全文...
  • 金蝶部署漏洞提权
  • 管理地址是 http://127.0.0.1:6888/admin/login.jsp 很多企业都存在弱口令 帐号admin 密码admin 本帖隐藏的内容 登录以后可以看到这是台windows2008系统还有一些其他的服务器信息等等.................. ......
  • 所属分类:网站安全 更新时间:2016-12-10 相关标签: 阅读全文...
  • php webshell分析和绕过waf技巧
  • WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Po......
  • 所属分类:网站安全 更新时间:2016-12-10 相关标签: 阅读全文...
  • 一句话木马原理简单分析
  • 一句话木马大家都很常用吧,功能强大并且方便快捷以及非常的小巧,也有很多过狗姿势在用了这么多年之后,我决定分析一下原理,一句代码是怎么完成复杂的操作的首先,我们最常用的一句其中是PHP语言的开端和结尾eval接......
  • 所属分类:网站安全 更新时间:2016-12-08 相关标签: 阅读全文...
  • 内网穿透:Android木马进入高级攻击阶段
  • 概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并......
  • 所属分类:网站安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • 看黑客是怎么砍传奇的
  • 传奇相信大家都不陌生把?零几年的时候火的不要不要滴,楼主以前也是个传奇疯子,骨灰级的玩家,现在也是好多年没玩了。 想当年楼主也是法团指挥官啊! 哈哈 不白呼了 进入正题 下班后也想重温下经典随便找......
  • 所属分类:网站安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • assert免杀一句话
  • 0x00 eval和assert的区别 http://www.vuln.cn/8395 http://www.php.net/manual/zh/function.eval.php http://php.net/manual/zh/functions.variable-functions.php 1)assert是函数,eval不是函数,是语言构造器 2......
  • 所属分类:网站安全 更新时间:2016-11-30 相关标签: 阅读全文...
  • 黑吧安全网被诋毁骗子的申明
  • 接到会员的提醒发现互联网上出现了大量恶意诋毁污蔑黑吧安全网的负面内容,我们在此做出郑重申明 1:网上有人恶意诋毁说黑吧安全网是骗子的内容 黑吧安全网回复:我们黑吧安全网自前身黑客动画吧到如今的黑吧安全......
  • 所属分类:网站安全 更新时间:2016-11-29 相关标签: 阅读全文...
  • 企业常见服务漏洞检测&修复整理
  • Author: atiger77@Mottoin Team 来源:http://www.mottoin.com/92742.html 前言 12月份要要给公司同学做安全技术分享,有一块是讲常见服务的漏洞,网上的漏洞检测和修复方案写都比较散,在这里一起做一个整合,整......
  • 所属分类:网站安全 更新时间:2016-11-29 相关标签: 阅读全文...
  • Winmail最新直达webshell 0day漏洞挖掘实录
  • 正题开始: 首先从wap.php文件中看到这里的内容,winmail是伪全局,我们现在走进index.php 前面的判断完全可以直接忽略,我们直接看后面 Default $logofile = ''; if ($logoimage != '') { if (strn......
  • 所属分类:网站安全 更新时间:2016-11-27 相关标签: 阅读全文...
  • PHPInfo()信息泄漏漏洞利用提权及防范
  • PHPInfo函数信息泄露漏洞常发生一些默认的安装包,比如phpstudy等,默认安装完成后,没有及时删除这些提供环境测试的文件,比较常见的为phpinfo.php、1.php和test.php,虽然通过phpinfo获取的php环境以及变量等信息......
  • 所属分类:网站安全 更新时间:2016-11-26 相关标签: 阅读全文...
  • 利用论坛发出的织梦0day拿下某站点到提权服务器
  • 首先看下robots.txt 熟悉的plus 一看就是织梦 目标站http://www.spring-wealth.com 那么最近出的个新洞 dedecms远程写文件 那就看看install目录下index.php 或者index.php.bak是否存在吧(其实就是论坛出的教程以......
  • 所属分类:网站安全 更新时间:2016-11-26 相关标签: 阅读全文...
  • 绕过安全狗上传拦截
  • 前几天遇到个网站有安全狗,上传的时候老是被拦截,所以昨天本地搭建环境测试了下,测试结果如下: 这里我首先得说下http协议: 在http协议中以;号为结束某条语句,不找到;号,http协议是不会判断他结束的。 这......
  • 所属分类:网站安全 更新时间:2016-11-20 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集