意小周
安全脉搏

11

文章

3

积分

0

收藏

0

关注

0

粉丝

至今

2015-6-14
国内资讯

安全资讯平台Freebuf数据库遭流出 

国内知名安全资讯平台Freebuf疑似在上个月20号遭到入侵,圈内流传出来的数据库截图如下图(附验证数据库方法)。 目前Freebuf已经发表声明表示在上个月网站的确遭到了黑客入侵。据了解黑客使用了中…

2015-6-14
安全报告

部分利用社工技巧的群发邮件样本关联分析 

1. 背景 近年来,安天诱饵信箱系统持续捕获大量利用社工技巧进行批量传播的带毒邮件。 安天分析人员从诱饵信箱中随机抽取了两封附件攻击手段一致的邮件作为分析起点。其中第一封邮件的捕获时间为2015年4月…

2015-6-11
国外资讯

Duqu 2.0:成功攻入卡巴斯基公司内网的绝妙内存APT攻击 

知名安全公司卡巴斯基(Kaspersky)通过博客和新闻稿承认,在今年早些时候的安全检查中,一款新的原型反APT系统发现公司内部系统被非常高明的攻击入侵。 在详细的技术报告(PDF)与FAQ(PDF)…

2015-6-7
Web安全

一个奇葩站点上传绕过与ssh免密码登陆 

一、上传绕过 注册一个网站时发现需要上传报名表,果断试一下有没有上传绕过。结果奇葩的发现允许上传的类型是在一个请求包中设置的,设置后网站使用flash上传。   果断在允许文件上传的扩展中加…

2015-6-1
内网渗透

从外网注入引发的内网血案 

  WEB篇: 目标www.S3cPu1se.com 环境:win32+apache IP:1.2.3.4 I)轻松的开始 1、跟往常不一样,今天我拿到的目标以后前期没做什么调研,直接开干了…

2015-5-25
内网渗透

利用WMI代替psexec——WMIEXEC.vbs 

0x01 背景 内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。 但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另…

2015-5-10
Web安全

浅谈JavaScript DDOS 攻击原理与防御 

前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用。我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正常用户的合法请求,最…

2015-5-8
CTF

第二届北京网络安全技术大赛夺旗赛Writeup(Web安全篇) 

0×00 前言 作为“4.29首都网络安全日”的重要活动之一,第二届北京网络安全技术大赛于4月29日成功举办。大赛吸引了北京乃至全国的网络安全从业者以及各大高校信息安全相关专业学生的热切关注。 夺旗比…

2015-4-14
数据分析

web日志取证分析工具 

工具简介: 还记得我上一篇Blog《云端博弈——云安全入侵取证及思考》中那个工具吗?通常在调查入侵事件的时候,工具化能最大限度的提升效率,且减少人为主观误判。 此工具可从单一可疑线索作为调查起点,遍历…

2015-3-30
Web安全

SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议 

0x01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。参见安全脉搏《受诫礼攻击:SSL/TLS又曝新漏洞,可明文读取传输数据》 在新加坡举行的Black…

2015-3-24
CTF

BCTF 2015 WEB题目通关攻略(Writeup) 

关于bctf: BCTF是由蓝莲花战队举办的网络安全夺旗挑战赛,去年只面向国内,从今年开始,我们将向全世界开放,欢迎全球各地的小伙伴们参加!我们将为优胜者提供奖励。 今年的BCTF也是全国网络安全技术…