• Wget漏洞(CVE-2016-4971)利用方式解析

    漏洞描述 近日, CVE-2016-4971漏洞被正式披露,该漏洞影响全部旧版本wget, 黑客可以利用此漏洞对程序员和运维工程师进行钓鱼,从而获得其主机权限或者植入rootkit。 漏洞详情 wget 作为*nix 系统常用下载工具,支持http、https、ftp 等多种协议,当使用wget 下载文件时,若初始下载http服务提供的下载资源, 如果服务 ...

    阅读全文
    作者:backlion | 分类:安全漏洞 | 阅读:95 views
  • 只用一个WiFi,渗透进企业全部内网

    近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响。 到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑 ...

    阅读全文
    作者:backlion | 分类:渗透实战 | 阅读:137 views
  • 中国菜刀20160620初体验(可绕waf)官网正版

    6月17号,某牛在朋友圈发了消息: 史上最牛逼的中国菜刀即将发布,过市面上所有的 waf,而且把 webshell 玩到让你瞠目结舌的境界 当时有消息称 6 月底将会发布新版菜刀。 果不其然,在 6 月 20 日,原本已经关闭的 maicaidao.com 又开放了,而且下载量瞬间就到了 660 +。 话不多说,赶紧去下载一个体验一波到底有多牛 ...

    阅读全文
    作者:backlion | 分类:渗透利器 | 阅读:296 views
  • 运维配置缺陷导致大量MongoDB数据信息遭泄露(含下载地址)

    近日,黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。 数据遭到大量泄露 据统计该组织目前泄露的数据已达3600万条之多。MongoDB作为一个基于分布式文件存储的数据库,其主要功能特性包括——面向集合存储,简单来说就是在MongoDB 中数据被分组存储在集合中,同时一个集合中可以存储无限多的文档。 模式自由就是 ...

    阅读全文
    作者:backlion | 分类:安全资讯 | 阅读:152 views
  • 移动平台千王之王大揭秘

    赌博是一种拿有价值的东西做注码来赌输赢的游戏,是人类的一种娱乐方式。虽然任何赌博在不同的文化和历史背景有不同的意义,但是它们都是利用人们以小博大、好逸恶劳、一夜暴富侥幸心理,最终往往都是输多赢少,甚至血本无归。 第一章 网络赌博发展简介 一、地下六合彩简介 六合彩[2]是香港唯一的合法彩票,是少数获得 ...

    阅读全文
    作者:backlion | 分类:安全资讯 | 阅读:138 views
  • Wfuzz:一款强大的Web Fuzz测试工具

    Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。 Wfuzz是一款为了评估WEB应用而生的Fuzz(Fuzz是爆破的一种手段)工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许 ...

    阅读全文
    作者:backlion | 分类:渗透利器 | 阅读:225 views
  • 漫谈流量劫持

    一 、本地劫持 在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器。这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数 ...

    阅读全文
    作者:backlion | 分类:逆向分析 | 阅读:161 views