PulseO0O

文章数:12

积分: 1

搞死“永恒之蓝”。

至今

2015-5-9
内网渗透

LAPS配置不当将暴露域内本地管理员明文密码 

背景介绍 通常来说,管理本地管理员帐户的登录凭证是很难考虑周全的。从设置强密码到在多台机器上设置独特密码,我们很少看到能够正确做到所有这些安全措施的情况。在我们渗透测试的大多数例子中,我们看到大部分域…

2015-5-7
内网渗透

比lcx更好使的内网打洞工具 

背景介绍 经常有朋友使用lcx,但是由于很多原因可能lcx都不好使,例如下面几点: 1、linux下不支持lcx,这时只能拿msf出来; 2、不免杀; 3、每次内网要重新连接其他主机的时候,都必须重新…

2015-4-28
Web安全

玩转JSON节点的Content-Type XXE攻击 

正如我们所知道的,很多web和移动应用都基于客户端-服务器交互模式的web通信服务。不管是SOAP还是RESTful,一般对于web服务来说,最常见的数据格式都是XML和JSON。 尽管web服务可能…

2015-3-16
移动安全

iOS教程:Dump应用程序内存 Part2 

在上一篇文章《iOS教程:对App的内存堆内容进行转储》中,我们讨论了如何使用GDB从iOS应用程序的堆中转储敏感信息。在本文中,我们将介绍如何使用Cycript实现相同的目的,并使用class-du…

2015-3-2
Web安全

Gravity Forms插件任意文件上传漏洞 

WordPress Gravity Forms是由国外著名高手开发的一个表单插件,对于想给自己WordPress站点添加订购表格的站长来说,带来很大的方便。Gravity Forms可以支持分页表单,…

2015-2-24
系统安全

解密MSSQL凭证及链接服务器密码 

从关键系统提取明文凭证一直以来都是那么的有趣和富有挑战性。然而,MSSQL服务器在数据库中存储了本地SQL凭证的哈希值,链接服务器的凭证以加密形式存储。如果MSSQL可以解密该凭证,那么使用本文中的P…

2015-2-14
国外资讯

关于Anthem数据泄露事件你需要知道的6件事 

美国国家第二大医疗保险公司Anthem,在上周三提醒它的客户说黑客已盗取了该公司的超过8000万客户的个人信息,使它成为最大的数据泄露事件,受影响客户达到了2013年的Target数据泄露事件中受影响…

2015-2-14
国外资讯

隐藏15年的JasBug漏洞影响所有版本的windows系统 

前几天微软刚刚发布了一个重要补丁来修复一个长达15年的漏洞,黑客利用该漏洞可以远程劫持用户的电脑,不管该电脑运行的是任何版本的windows系统。 这个严重的漏洞名为“JASBUG”,该名字由报告该漏…

2015-2-12
Web安全

理解PHP对象注入 

PHP对象注入并不是一种十分常见的漏洞,这种漏洞可能会比较难利用,但是这种漏洞可能比较危险。为了学习这种漏洞,首先需要理解基础的PHP代码。 易受攻击的应用 如果你认为PHP对象注入并不是一种很严重的…

2015-2-4
国外资讯

黑客伪装美女窃取叙利亚反对派近8G军事机密 

FireEye近日发布报告称,黑客入侵了叙利亚反对派的计算机网络,窃取了7.7GB的秘密通讯内容和军事计划。 背景 2013年6月份,10个反叙利亚政府的武装组织正在计划着一次反政府武装运动。他们精心…

2015-2-3
系统安全

Oracle数据库XXE注入漏洞(CVE-2014-6577)分析 

在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁。 有关XXE的相关知识,可以查看安全脉搏站内的另一…

2015-1-28
移动安全

Android APP安全测试之使用调试器 

继上一篇《Android APP安全测试入门》之后,我们又来到了本篇文章,即利用调试器来进行Android APP安全测试。 方法简介 本方法的独特之处是,我们并不需要获取Android设备的root…