国内知名安全资讯平台Freebuf疑似在上个月20号遭到入侵,圈内流传出来的数据库截图如下图(附验证数据库方法)。 目前Freebuf已经发表声明表示在上个月网站的确遭到了黑客入侵。据了解黑客使用了中…
1. 背景 近年来,安天诱饵信箱系统持续捕获大量利用社工技巧进行批量传播的带毒邮件。 安天分析人员从诱饵信箱中随机抽取了两封附件攻击手段一致的邮件作为分析起点。其中第一封邮件的捕获时间为2015年4月…
Duqu 2.0:成功攻入卡巴斯基公司内网的绝妙内存APT攻击
知名安全公司卡巴斯基(Kaspersky)通过博客和新闻稿承认,在今年早些时候的安全检查中,一款新的原型反APT系统发现公司内部系统被非常高明的攻击入侵。 在详细的技术报告(PDF)与FAQ(PDF)…
一、上传绕过 注册一个网站时发现需要上传报名表,果断试一下有没有上传绕过。结果奇葩的发现允许上传的类型是在一个请求包中设置的,设置后网站使用flash上传。 果断在允许文件上传的扩展中加…
WEB篇: 目标www.S3cPu1se.com 环境:win32+apache IP:1.2.3.4 I)轻松的开始 1、跟往常不一样,今天我拿到的目标以后前期没做什么调研,直接开干了…
0x01 背景 内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。 但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另…
前言 DDoS(又名"分布式拒绝服务")攻击历史由来已久,但却被黑客广泛应用。我们可以这样定义典型的DDoS攻击:攻击者指使大量主机向服务器发送数据,直到超出处理能力进而无暇处理正常用户的合法请求,最…
第二届北京网络安全技术大赛夺旗赛Writeup(Web安全篇)
0×00 前言 作为“4.29首都网络安全日”的重要活动之一,第二届北京网络安全技术大赛于4月29日成功举办。大赛吸引了北京乃至全国的网络安全从业者以及各大高校信息安全相关专业学生的热切关注。 夺旗比…
工具简介: 还记得我上一篇Blog《云端博弈——云安全入侵取证及思考》中那个工具吗?通常在调查入侵事件的时候,工具化能最大限度的提升效率,且减少人为主观误判。 此工具可从单一可疑线索作为调查起点,遍历…
SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议
0x01 前言 愚人节即将到来,SSL再次因Bar Mitzvah Attack漏洞弄的大家不得安宁。参见安全脉搏《受诫礼攻击:SSL/TLS又曝新漏洞,可明文读取传输数据》 在新加坡举行的Black…
关于bctf: BCTF是由蓝莲花战队举办的网络安全夺旗挑战赛,去年只面向国内,从今年开始,我们将向全世界开放,欢迎全球各地的小伙伴们参加!我们将为优胜者提供奖励。 今年的BCTF也是全国网络安全技术…