0x01 前言 我们在渗透测试过程中常常会通过文件包含来getshell,一般会包含恶意代码的图片、污染UA或referer等HTTP头从而包含访问日志等等。这里介绍另外一种包含的方法,通过污染SSH日志的方式。 0x02 SSH日志污染 使用测试环境为ubuntu(10.168.33.174),s ...
分类:
系统相关 时间:
2017-03-01 23:06:27
阅读次数:
326
一、kali基础1、kali是基于backtrack基础之上的渗透测试新工具,它基于DebianGNU/Linux系统,并且支持多种桌面环境,多种语言,apt软件包管理机制,自定义系统,支持各类硬件(树莓派),包含多种渗透测试知名开源框架,kali包含的开源项目社区氛围好,更新较快。二、kali安装..
分类:
其他好文 时间:
2017-03-01 21:47:43
阅读次数:
860
原文地址:http://www.freebuf.com/articles/others-articles/71604.html(原文主要是针对窃密型Webshell的检测来讨论的,开篇部分先介绍了传统的检测Webshell的方法,之后找出传统方法的不足,提出针对窃密webshell的新方法,这篇文章 ...
分类:
Web程序 时间:
2017-02-25 14:50:50
阅读次数:
199
网络数据嗅探工具HexInject 网络数据嗅探是渗透测试工作的重要组成部分。通过嗅探,渗透人员可以了解足够多的内容。极端情况下,只要通过嗅探,就可以完成整个任务,如嗅探到支持网络登录的管理员帐号和密码。 为了实现这个功能,Kali Linux中的很多软件都提供这种功能,最知名的就是Wireshar ...
分类:
其他好文 时间:
2017-02-23 15:53:45
阅读次数:
193
介绍 在文章第一部分,我们演示了如何找到有用的ROP gadget并为我们的系统(3.13.0-32 kernel –Ubuntu 12.04.5 LTS)建立了一个提权ROP链的模型。我们同时也开发了一个有漏洞的内核驱动来允许实现执行任意代码。在这一部分,我们将会使用这个内核模块来开发一个具有实践 ...
分类:
系统相关 时间:
2017-02-22 16:39:42
阅读次数:
515
大多数系统核心的是数据,而不是算法。用户不会接触QuickSort,而是去访问一个数据仓库。数据推动了用户喜欢的产品,所以架构师围绕数据创建了其余的传统“n层”软件站。Facebook即是一个围绕数据建立架构的例子。“Facebook社会关系网站”在概念上是一个标准的“n层”栈,用户的请求会从Fac ...
分类:
其他好文 时间:
2017-02-19 16:46:54
阅读次数:
150
伴随着整个消费大潮从线上向线下回归,消费金融也开始重新向线下市场渗透,然而,线下消费金融一直是传统金融机构的战场,如今,在新技术的冲击下,传统金融机构不得不考虑开放合作。 ...
分类:
其他好文 时间:
2017-02-15 17:25:57
阅读次数:
220
开启之后,主要会对系统操作、文件、权限设置等方法产生影响,平常项目基本上也用不到这些方法。主要我想还是用来应对webshell吧,减少被人植入webshell所带来的某些安全问题。 ———— webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为 ...
分类:
Web程序 时间:
2017-02-12 23:45:51
阅读次数:
246
