入侵之前的学校的网站的过程 渗透测试

作者:宝顺 前上学的学校。早就毕业了的,上学时候就一直想拿下来玩玩,不过总是忘了。今天无聊就拿下来了。。 目标站:xxxxxx.com 首先找后台地址。随便加了个admin。就是了,等等。。好像不对,为啥显示了部分内容才弹出的未登录的提示框。 相信大家都明白,写程序的时候验证是否登录的代码放到了现在显...
admin 发布于 

红树林渗透测试小工具v1.1.1 安全工具

免责申明: 请使用者注意使用环境并遵守国家相关法律法规! 由于使用不当造成的后果本作者不承担任何责任! ---------------------------------------------------------------------------- /* 渗透测试中免不了一些小...
admin 发布于 

高级文件系统入侵检测工具-AIDE 安全工具

AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。 AIDE如何工作 ...
admin 发布于 

站长切记:请勿将重要配置文件备份为.bak后缀 网络安全

很多站长有这样一个习惯,更改网站配置文件之前将原始文件重命名来备份,例如将config.php重命名为config.php.bak,殊不知这样一个小小的细节就给黑客留下了可乘之机,站长们可以做如下实验: 1、将您网站根目录下任意.php文件重命名为.php.bak,例如将config.php重命名为config.php.b...
admin 发布于 

黑客大量入侵思科路由器 安全公司:无法抵御 业界新闻

美国互联网安全公司FireEye旗下安全部门Mandiant今日透露,他们发现一种新的针对路由器的攻击手段,允许黑客盗取海量数据,又不会被当前的网络安全防御系统检测到。思科作为全球最大的路由器厂商,首当其冲成为最大的攻击对象。据悉,这种攻击方法能替换思科路由器的操作系统,截至目前,Mandiant已在印度、...
admin 发布于 

arp劫持某域名注册商 渗透测试

前段时间朋友在做一个网站, 就在某域名商那注册了一个米, 但是三天两头的出问题 找客服客服态度还很差, 说是自己的网络问题, 尼玛dns都找不到能是网络问题么? 擦... 于是乎夜半时分就帮朋友教训教训这个坑爹的域名商~~~ 先是探测了一些基本信息, web使用的IIS7.5, 服务器是windows 2008 整个网站是.net写的, 于是开始...
admin 发布于 

“猥琐”成功XSS某网站 渗透测试

因为需求,对一个网站进行检测 各种扫描无果 于是开始进行各种xss 注册会员开始 问答处~~~~~~~ 不会饶,还请大牛赐教!! 不会饶,还请大牛赐教!! 最后各种翻,各种翻啊~~!! 然后就看到了 哈哈哈,很多获取IP的方式都能弄,包括ip...
admin 发布于 

【转自TSRC】浅谈开源web程序后台的安全性 网络安全

前言        不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章 标题都是:成功渗透XXX,成功拿下XXX。这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程。大学网站使用了名为jooml...
admin 发布于 

创造tips的秘籍——PHP回调后门(转载) 渗透测试

最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如$_GET'func'之类的方法。万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的。 那么,我就分享一下,一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。 有很多朋友喜欢收藏一些tips,包括我也收藏了好多tips,有时候...
admin 发布于 

如何绕过WAF?Mrxn总结如下一些技巧 渗透测试

WAF介绍 什么是WAF? WAF--俗称“Dog” --WEB_Dog ----Web应用防火墙。 Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 基本/简单绕过方法: 1、注释符 http://www.site.com/index.php?page_id=-15 /!UNION/ ...
admin 发布于