登陆 注册
  • 实战渗透 | 情侣空间钓鱼邀请,撸它

    AslanAslan 2019-11-20

    前两天收到一情侣空间的邀请 一脸吃惊长这个样子当时在火车上,随便拿手机看了看 踩了下点后台及简单弱口令 无果反手一个XSS Fuck?好吧 好吧 惹不起 …..今天 2019.07.21 天气很热,砖头也很烫手 烦躁想起这个钓鱼站,已知信息后台地址、管理员QQ、宝塔面板 哦,还知道这个B是个钓鱼站………….宝塔自带waf 咱也不敢刚 咱也刚不动爆破inG倒杯...

  • FastJson最新反序列化漏洞分析

    AslanAslan 2019-07-18

    漏洞危害:严重FastJson最新爆出的绕过方法可以通杀1.2.48版本以下所有,有传言在autotype开启的情况下可以打到1.2.57。## 解决方案:FastJson升级到最新1.2.58版本;采用默认的关闭autotype## 漏洞详情:fastjson是alibaba开源的一款高性能功能完善的JSON库,在2017年4月18日的时候官方自己爆出了一...

  • 国际知名酒店万豪集团因泄露 3.83 亿名客户信息,或将面临英国 ICO巨额罚款

    AslanAslan 2019-07-10

    英国信息专员办公室希望在去年损失3.83亿客户预订记录的情况下,为万豪酒店开出了9900万英镑的罚款。在万豪提交的美国监管文件中披露了接近1亿英镑的金额(99,200,396英镑)的罚款,该文件称:“万豪有权在ICO(英国信息专员办公室)做出最终决定及开出罚单之前做出回应。万豪试图回应并积极捍卫其立场。”万豪国际集团首席执行官Arne Sorenson补充说...

  • phpMyAdmin 文件包含复现分析

    AslanAslan 2019-07-05

    前言周末分析了两处旧版本中 phpMyAdmin 的文件包含漏洞,分享一下。4.8.1 文件包含漏洞漏洞分析我们先来看看 payload:payload:index.php?target=db_sql.php%253F/../../../../../../../../../../../../a.txt我们可以看到是 i...

  • CVE-2019-11477:Linux内核中TCP协议栈整数溢出漏洞详细分析

    AslanAslan 2019-06-24

    *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。漏洞概述2019年6月18日,RedHat官网发布CVE编号为CVE-2019-11477的漏洞,此漏洞是一个底层协议栈的整数溢出漏洞,影响Linux内核2.6.29及以上版本,理论上可以造成远程拒绝服务漏洞。经过我们团队分析验证,在实际环境中...

  • 记一次获取远程桌面历程

    AslanAslan 2019-06-07

    整体流程:第一步,万能密码进入后台第二步,传免杀马连菜刀第三步,端口转发第四步,读取hash值0x01 进入后台找到后台登陆界面/admin/,尝试万能密码登录,成功进入后台0x02 传马连菜刀找到上传点,上传1.php文件失败,提示只允许上传jpg文件。于是传图马抓包改后缀上传成功,并直接显示了上传路径,复制访问,连接菜刀,但是,失败了!!!应该是被杀了,...

  • 当代地下黑市现状——网络犯罪根深蒂固,毒品交易“遍地开花”

    AslanAslan 2019-06-05

    大家好,我是凌云。我是在2014年接触上黑客技术的,一晃眼,将近5年的时间就快过去了,在我刚入门的时候,有幸遇到一个便宜师傅。他是一名黑色产业链的从业者,也是他第一个为我打开新世界大门的人,跟着他我了解到了许多大众不知道的黑色交易。普通网民可能想不到,在这片被光明笼罩的大地下,有个充斥着网络犯罪的阴暗角落,每天都交易着成千上万条个人信息,这些信息或许和我们每...

  • PHP Webshell下绕过disable_function的方法

    AslanAslan 2019-06-04

    前言在渗透测试中,会遇到自己有shell,但是不能执行命令不能提权等情况,我就把最近搞战中遇到的突破disable_function的方法(都是一些大佬研究出来,先感谢一波)总结与复现了一下,这些方法面试也经常会问一.系统组件绕过window com组件(php 5.4)(高版本扩展要自己添加)条件:要在php.ini中开启(如图)利用代码,利用shell上...

  • 25000 台 Linksys 路由器可能泄露与之相连的任何设备的大量信息

    AslanAslan 2019-05-21

    可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正...

1
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.