小白安全博客

小白记忆
专注网络安全

日志归档

2017年12月发布的文章

星座说

天蝎座一生中需要什么样的人陪伴?

天蝎很容易受伤,很容易自卑,很容易满足,很容易爱上一个人,很容易流泪,很容易……但是很难走出悲伤,很难忘记一个人,很难背叛友情爱情,很难有心机,很难拒绝,很难对得起自己。宁愿牺牲自己的利益都会保全他人的利益,天蝎真的值得深交。     能不骂人,就不骂!一旦骂,就往死里骂;骗我可以,但不要被我知道;我可......

阅读(761)评论(0)

工具【以及工具使用方法】

Windows-Exploit-Suggester --- Windows下提权辅助工具

此工具是一款非常好用的Windows下提权辅助工具(已经支持Windows 10下的提权了),国内已经有许多人在用了,但是一直没有相应的中文文档,所以我特地翻译了一下,水平有限,如有错误,欢迎指出,谢谢。 描述 该工具可以将目标系统的补丁安装情况与微软的漏洞数据库进行对比,进而检测出目标系统中潜在的未修复漏洞。同时此工具还会告知......

阅读(493)评论(0)

工具【以及工具使用方法】

Java反序列化利用工具 -- Java Deserialization Exp Tools

Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果......

阅读(842)评论(0)

工具【以及工具使用方法】

扫目录过狗过waf方法

用御剑的朋友都遇到过这个页面吧,装狗了开启保护就会这样 本机搭建安全狗设置发现,默认是过蜘蛛的,所以只要把http头来路改成蜘蛛的useragent就ok了 无奈御剑和wscan 都是无法设置http头的,也无法用burp做代理中转改http头 像AWVS,Burp类大型扫描工具也可以......

阅读(534)评论(0)

渗透测试

phpmyadmin新姿势getshell

在一个有WAF、并且mysql中的Into outfile禁用的情况下,我该如何getshell?首先环境如下: OS:Windows 2003 WAF:Safe Dog 4.0正式版 phpmyadmin:4.7(许多都可以) Mysql:5.5+ PHP:5.3 Apa......

阅读(454)评论(0)

Linux

Linux下暴力破解工具Hydra详解

Number one of the biggest security holes are passwords, as every password security study shows. Hydra is a parallized login cracker which supports numerous protocols to attack. N......

阅读(529)评论(0)

自学教程

kotlin从零基础到进阶教程

Kotlin 是一个基于 JVM 的新的编程语言,由 JetBrains 开发。Kotlin可以编译成Java字节码,也可以编译成JavaScript,方便在没有JVM的设备上运行。JetBrains,作为目前广受欢迎的Java IDE IntelliJ 的提供商,在 Apache 许可下已经开源其Kotlin 编程语言。......

阅读(523)评论(0)

自学教程

语言数据分析实战_R语言学习教程

R语言是个开源项目,具有强大的统计计算及制图能力,是大数据分析必备的工具,支持Window/MAC/linux系统,R语言正在被大多数数据分析师作为数据分析主要工具。本课程是BAT资深挖掘大神肖老师的课程,从R的基础功能介绍,讲到数据获取,整理,数据可视化及多元统计分析及数据挖掘基本应用。学习收获:快速掌握R语言作为数据处理分析工具,囊括数据获取,处理......

阅读(556)评论(0)

工具【以及工具使用方法】

代码审计工具 Cobra 源码分析

0x00 前言 @0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开发,可以针对多种语言的源代码安全性评估。 在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。 在这一系列的笔记中,将会记录下对 Cobra 的使用体......

阅读(544)评论(0)

自学教程

Photoshop商业人像精修课程 附配套资源

这些个资源来自于各个资源网 课程以美术及摄影作为背景,通过技术技巧与案例操作融合,为大家揭开明星大片、广告大片及时尚杂志封面背后的秘密,针对一些摄影爱好者或是有一定修图基础的同学来说,是一个进阶学习的机会。这套视频将让你对商业后期有一个全新的认识,甚至还能通过此次学习来换取更多的收益。 如果你是一......

阅读(485)评论(0)

Windows

禁止sethc.exe运行 防止3389的sethc后门

以Windows 2003为例,启动Windows 2003组策略 点“开始”,在“运行”中敲入gpedit.msc依次展开“用户配置”→“管理模板”→“系统”子键,此时可以看到一个“不要运行指定的Windows应用程序”选项,双击该选项,在“策略”选项卡中选择“启用”选项,启动Windows 2003禁止运行指定应用程序的功能,单击“不允许的应用......

阅读(445)评论(0)

工具【以及工具使用方法】

跨平台版中国菜刀

Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正实用的跨平台类似的菜刀,然后可惜代码是个渣渣一直可望而不可即,后续随着公司业务增多,大多数目标都有WAF,于是就想写一款完全脱离工具,只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月......

阅读(571)评论(0)

安全预警

新型攻击利用Excel表格启动恶意软件Loki Bot窃取密码

E安全12月25日讯 网络安全公司Lastline2017年12月初发现一种利用Office Excel表格的新型攻击技术,且最近刚扩展到其它Office应用程序。研究人员发现一种新型恶意Office Excel文件,该文件可以下载并执行恶意软件,但该文件中并无宏、shellcode或者DDE代码的蛛丝马迹。且当研究人员提交文件到Virustotal......

阅读(410)评论(0)

安全资讯

从*.BAT到银行钓鱼页面

如果你以为使用BAT文件来进行攻击有点过时了,那我得请你想好再说了。在监控我们的安全邮件网关云服务时,我们发现了多个针对巴西用户的可疑的垃圾邮件。接下来,我们就给大家分析一下这个使用BAT文件来实施攻击的巴西恶意软件样本。 下图显示的就是我们所捕捉到的垃圾邮件信息,它们会诱使目标用户去打开邮件中的附件: 邮件主题中......

阅读(490)评论(0)

WEB安全

【转FREEBUF】Captcha插件后门分析和修复

0×00 前言 近日看到网上爆出wordpress官方插件captcha出现后门,大惊,本人当初千辛万苦找验证码插件,在十几个插件中选了这款,感觉还挺好用,竟然爆后门,赶紧去博客 排查,还好由于安装比较早,并没发现后门,发文纪念一下这次差点中招…… 0×01 概述 据说这个后门是偶然被发......

阅读(584)评论(0)