Powershell & Po

本文《Powershell & Powersploit 入门》由armyzer0团队原创投稿安全脉搏,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 PowerShell 是运行在 Windows上实现系统和应用程序管理自动化的命令行脚本环境。你可以把它看成是命令行提示符 cmd.exe 的扩充,或是颠覆。Powershell 需要.NET环境的支持,同时支持.NE...

安全脉搏 专注于企业安全服务

一、你所不知道的安全脉搏 安全脉搏(SecPulse.com)致力于独家优质技术文章和安全报告分享,关注于业内高质量安全讯息及安全事件。 分享技术,悦享品质,关注安全是安全脉搏宗旨。 安全脉搏(service.secpulse.com)专注于为广大企业提供各式各样的安全服务,拥有安全脉搏WAF,GodTouch安全巡航感知系统等多款产品。 安全脉搏拥有专业核心白帽团队,还有SRC小分队,对外常年活...

Cacti监控系统注入漏洞引发的内网血案

前言: 安全是个整体,任何一个短板都会造成安全事故,从边界网络到IDC 运维网络再到办公网络,都是个整体每一处网络都不能忽视。 企业在为安全做了多层防护不是一个IDS,WAF,杀毒软件安全防护能搞定事,为何内网不堪一击,真有攻击发生时,这些防护策略能否觉察到攻击。   案例:注入到shell再到内网域控 整个事件起因是源自 Cacti 注入漏洞引起, Cacti Centreon企业服...

知其一不知其二之Jenkins Hack

本文首发安全脉搏 感谢大王叫我来巡山 的投递 转载请注明来源 大多安全工作者听到jenkins都会知道有个未授权的命令执行 但是如果Script页面要授权才能访问呢 或者你的用户没有Overall/RunScripts权限呢 抱着提出问题-->测试问题-->解决问题的思路有了这篇文章               &...
  • 内网如何定位管理员

    内网渗透,不是简单的耍流氓的说"可内网渗透"或者“内网漫游”,有...
  • SSRF漏洞的挖掘经验

    SSRF概述 SSRF(Server-Side Request ...
  • 讲讲越权那些事

    简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常...
  • 渗透测试中密码扫描与破解小结

    0x00 前言                 一次测试的过程总...
  • 最新文章

    今日更新1
    文章 智能硬件漏洞挖掘入门指导—安全小课堂第五十三期

    智能硬件漏洞挖掘入门指导—安全小课堂第五十三期

    随着科技的发展,智能硬件逐渐进入人们的生活。比如扫地机器人、智能冰箱、智能音箱等。一方面智能硬件给人们的生活带来了前所未有的便利,但另一方面智能硬件也潜藏着安全危险,智能硬件网络安全方面的漏洞是导致危险的一个重要因素。 JSRC 安全小课堂第五十三期,我们来邀请讲师分享了关于智能硬件网络安全方面的漏洞挖掘的一些知识。 感谢讲师陆羽、0xgg师傅的分享,感谢JSRC白帽子px16...
    招聘 安识科技2017年度诚聘英才

    安识科技2017年度诚聘英才

    公司简介        安识科技,是一家专注于账号安全、企业风险评估的技术型企业。旗下拥有基于云+端的自研产品多因素令牌、基于多重检测引擎的伏特漏洞扫描云平台等!         安识科技荣获阿里云先知2016年度最佳合作安全公司TOP1及阿里巴巴ASRC2016年度优秀生态合作伙伴公司奖;并且与国内多家大型客户及SRC、安全公司形成战略合作伙伴关系。在2017年,安识科技引入...
    安全报告 老司机奇淫渗透测试让网站给自己发管理员账号密码

    老司机奇淫渗透测试让网站给自己发管理员账号密码

    本文《老司机奇淫渗透测试让网站给自己发管理员账号密码》由armyzer0团队原创投稿安全脉搏,作者老司机,安全脉搏SecPulse.Com独家发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 团队 一枚 老司机的奇葩司机思路,发出来让大家看看 他到底有多老司机! 对他老司机这一件事,我能怎么办,我也很绝望呀! 我和大家一样看文章以前 都是一枚不明真相的吃瓜土狗...
    数据分析 开源网络取证工具Xplico架构浅析

    开源网络取证工具Xplico架构浅析

    本文《开源网络取证工具Xplico架构浅析》 由宜人贷安全应急响应中心 入驻安全脉搏账号发布,作者宜信安全部syp,安全脉搏独家首发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 0x1 概述 关于 xplico的目标在于从抓取的网络流量处还原应用中的数据。 例如:xplico可以从pcap包中还原出每一封邮件(POP,IMAP,SMTP协议),所有的http...
    Web安全 phpcms_v9.6.0_sql注入与exp

    phpcms_v9.6.0_sql注入与exp

    今天还是昨天 突然整个圈子都在问一个phpcms v9漏洞 我们这里有好几个未公开的 后来经过证实,你们是要这个注入的漏洞 这个漏洞的文档已经在小范围流传了  phpcms_v9.6.0_sql注入分析 可疑的函数 localhost/phpcms/modules/attachment/attachments.php文件的第241GET提交src变量带上了safe_relac...
    Web安全 浅谈XSS攻击的那些事(附常用绕过姿势)

    浅谈XSS攻击的那些事(附常用绕过姿势)

    本文《浅谈XSS攻击的那些事(附常用绕过姿势)》 由一叶知安团队原创投稿安全脉搏首发,作者geek痕,安全脉搏独家首发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。 首先,什...
    工具 双剑合璧-Linux下密码抓取神器mimipenguin发布

    双剑合璧-Linux下密码抓取神器mimipenguin发布

    本文《双剑合璧-Linux下密码抓取神器mimipenguin发布》 由ChaMd5安全团队原创投稿安全脉搏,作者为核心成员zusheng,安全脉搏发表本文,如需要转载,请先联系安全脉搏授权;未经授权请勿转载。 只要借用一下电脑,便可轻松拿到密码……“女神,借用电脑一看可否?” 前有Mimikatz,今有mimipenguin,近日国外安全研究员huntergregal发布了工...
    招聘 北京易鑫金融诚聘信息安全工程师

    北京易鑫金融诚聘信息安全工程师

    公司介绍 易鑫(www.daikuan.com)一家科技金融公司,成立于2014年8月,四大股东易车、腾讯、京东、百度持重金打造,共注资9.5亿美金,展业以来资产规模及核心竞争力在互联网汽车金融领域里位列前茅。业务涵盖汽车产业链上的每一个环节,包括新车、二手车、融资租赁、供应链金融、车辆抵押和汽车保险。业务范围遍及全国300多个城市。易鑫为消费者、主机厂、渠道商提供全方位、个性...
    Web安全 IIS6 ScStoragePathFromUrl溢出利用方法

    IIS6 ScStoragePathFromUrl溢出利用方法

    3月27日华南理工大学的研究人员公布了IIS6的一个栈溢出漏洞(CVE-2017-7269),在2003系统下开启WEBDAV的情况下,可以远程获取Network Service权限。 在尝试调试利用此漏洞的时候,我遇到了一些问题并进行了解决,现在把调试和解决方法记录下来作为学习笔记,以便日后总结复习。 漏洞简析 此漏洞出现在httpext.dll的ScStoragePath...
    招聘 湖南高阳通联诚聘安全渗透工程师

    湖南高阳通联诚聘安全渗透工程师

    全球最大的手机支付项目-“和包”,彻底改变人们的支付和生活方式。 中国移动的“和包”项目(原名手机支付),以人为本,以更好地为社会服务为核心目标。 融合了金融、电信、智能卡、支付产品设计等多个领域的领先技术,值得有识有志之士为之付出智慧和热血。 高阳通联(湖南高阳通联信息技术有限公司)作为“中国移动和包”项目的业务合作公司,诚聘计算机、金融、市场营销、电子商务、工商管理等专业的...
    系统安全 CVE-2017-7269的几个技巧及BUG修正

    CVE-2017-7269的几个技巧及BUG修正

    看过了分析,来说说利用的几个小技巧。 1. 漏洞适用范围 原poc上面只写了适用于03 r2,实际上最常见的03 sp2也可以直接复现,这样子看来攻击范围是很大的,毕竟国内卖的大部分03都是企业版sp2。 测试了英文版03 sp2同样成功,更多的版本没环境测试。 2.漏洞不成功的问题 抛去所有不能利用的问题不谈,当条件都符合的时候,还可能有四点导致失败(以坑爹程度倒序排列)。 ...
    Web安全 文件寄生——寻找宿主的不归路(NTFS文件流实际应用)

    文件寄生——寻找宿主的不归路(NTFS文件流实际应用)

    NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名的文件流,windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用的未命名文件流一致,甚至可以用来启动程序。 NTFS文件流生成步骤: 本文《文件寄生——寻找宿主的不归路(NTFS文件流实际应用)”》由作者米斯特安全攻防实验室 Www.Hi-Ou...

    不容错过

    最新推荐

    友情链接

    合作伙伴