Eternal 8年前 (2017-07-13) 12507浏览 1评论

DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cr...

Eternal 8年前 (2017-07-10) 8407浏览 1评论

相信对木马病毒有一定了解的人，一定听说过Trojan dropper。这是一种会在你的计算机上，释放和下载其他恶意软件的木马程序。作为一种较为典型的木马，它也极易遭到杀毒软件的查杀。那么有没有办法让我们的木马“隐身”呢？这里我向大家推荐一款叫做Dr0...

demon 8年前 (2017-07-08) 31848浏览 1评论

0x00 由于传播，利用此脚本所提供的工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，即刻安全以及工具作者不为此承担任何责任。 Metasploit系列课程第八课 最后的最后一课。这次和以往不同，最后一课不打算用视频，想用文章的形式给各...

Eternal 8年前 (2017-05-15) 8899浏览 0评论

什么是验证码？ CAPTCHA是(全自动区分计算机和人类的图灵测试)的简称，是用于区分计算机和人类的一种程序算法，这种程序必须能生成并评价人类能很容易通过但计算机却通不过的测试。 像我们平时最常遇到的，就是基于图片的验证码。这类图片验证码通常包含的，...

Eternal 8年前 (2017-05-04) 18216浏览 1评论

前言 本文章主要以后端PHP和MySQL数据库为例，参考了多篇文章后的集合性文章，欢迎大家提出个人见解，互促成长。 一、 PHP几种防御姿势 1、关闭错误提示 说明： PHP配置文件php.ini中的display_errors=Off，这样就...

Eternal 8年前 (2017-04-05) 25240浏览 1评论

作者：Homaebic 前言 上个学期一直在学审计，前几天ST2漏洞大火，随便打一个就是root权限，我却拿着root权限不知如何继续进行。因为这个，发现了自己对渗透知识的缺失，因此用了两周左右的时间学习补充了一下内网渗透的知识，看了不少大牛的文...

Mat 8年前 (2017-03-22) 103795浏览 0评论

0x01 前言：其实我是个小白平时就喜欢瞎搞，无意间碰到一个浏览器就想一探究竟，好了废话不多说开始！！！ 0x02 可以看到我打开的新标签是怎么一个链接页面，既然是页面我是不可以XSS它呢？ 于是我就打开了控制器输入XSS代码如下图： 输入pay...

Eternal 8年前 (2017-02-18) 5415浏览 1评论

在小密圈提了个问题，“如何编写一个不使用数字和字母的webshell”，并具体成如下代码： <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell...

Eternal 8年前 (2017-02-17) 7116浏览 1评论

1.一句话的工作原理 首先我们看一下就常见的一句话。 <?php @eval($_POST[‘pass’])?> 单从php语法上理解，首先$_POST会获取post到服务器的参数名为pass的数据，然后eval会将$_POST获取的字...

Mat 8年前 (2017-02-13) 10553浏览 1评论

前言 安全狗是一款大家熟悉的服务器安全加固产品，据称已经拥有50W的用户量。最近经过一些研究，发现安全狗的一些防护功能，例如SQL注入、文件上传、防webshell等都可以被绕过，下面为大家一一介绍。 一、测试环境 本次测试环境为： 中文版 Win2...