国内 技术|资讯 www.freebuf.com(内容质量不错) www.wuyun.org(drops和zone都不错) 0day5.com(经常会发布一些较新的漏洞文章) xss.hacktask.net(XSS漏洞利用平台) security.tencent.com(腾讯安全应急响应中心) w ...
分类:
其他好文 时间:
2016-11-29 21:57:26
阅读次数:
154
摘要 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示 ...
分类:
Web程序 时间:
2016-11-22 02:05:04
阅读次数:
230
目前就漏洞利用对抗这一层面来说,android、ios、基于Linux的移动平台是大家关注的热门方向,与这些热点比起来Windows上的一些“老家伙”诸如IE(包括Edge,以下皆是)可能就不怎么受到关注了,但是我个人作为一个二进制的入门小白还是觉得围绕着IE的攻防对抗有很多值得学习的东西。其实主要 ...
分类:
其他好文 时间:
2016-11-21 08:42:35
阅读次数:
247
1、下载器和启动器 常见的两种恶意代码是下载器和启动器。下载器从互联网上下载其他的恶意代码,然后在本地系统中运行。下载器通常会与漏洞利用(exploit)打包一起。下载器常用windows API函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码。 启动器(也称为加载 ...
分类:
其他好文 时间:
2016-11-18 22:13:52
阅读次数:
250
漏洞利用之Metasploit使用过程 先扫描端口,看开放的服务,如开放ftp,版本是vsftpd 2.3.4;使用search搜索vsftp查看是否在相应的漏洞利用exploit,输入search vsftp;use exploit/unix/ftp/vsftpd_234_backdoor,选择e ...
分类:
Web程序 时间:
2016-11-14 12:52:52
阅读次数:
233
介绍 项目地址:https://github.com/stasinopoulos/commix Commix是一个使用Python开发的漏洞测试工具,这个工具是为了方便的检测一个请求是否存在命令注入漏洞,并且对其进行测试,在其作者发布的最新版本中支持直接直接导入burp的历史记录进行检测,大大提高了 ...
分类:
其他好文 时间:
2016-11-12 22:56:44
阅读次数:
184
ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据reverse 逆向windows、linux类ppc 编程 ...
分类:
其他好文 时间:
2016-11-05 12:05:44
阅读次数:
1150
17号paloalto发布了文章dealerschoice-sofacys-flash-player-exploit-platform,文中提到apt28正在编写adobe flash player的利用工具包,遂将样本下下来分析了一番。 和之前很多的flash漏洞利用不同,这次apt28将自身的漏 ...
分类:
其他好文 时间:
2016-10-21 00:36:52
阅读次数:
177
#文件处理软件漏洞利用# ##起因## 最近看了下fuzz平台的样本,看到几个推荐的样本,在xp下immdbg确实发现了2处漏洞。 ## 细节 ## 1. 内存写入 mov [eax],[eax+4] mov[[eax]+4],[eax] 触发了内存写入异常,附近有seh ,所以如果没调试器的话会被 ...
分类:
其他好文 时间:
2016-09-28 12:28:32
阅读次数:
129
大概四、五年前,看过陈皓的酷壳上面的一篇文章,上面有一句话我一直记得,是关于学习技术的心得和态度的。 要了解技术就一定需要了解整个计算机的技术历史发展和进化路线。因为,你要朝着球运动的轨迹去,而不是朝着球的位置去,要知道球的运动轨迹,你就需要知道它历史上是怎么跑的。 ...
