secist | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

标签:secist

使用Python CGIHTTPServer绕过注入时的CSRF Token防御

前言CSRF tokens是服务器生成的一串随机值,其主要作用是防止表单重复提交以及请求伪造攻击。由于该生成值具有随机性,一次性,并且是基于服务器端的前一个请求生成的,因此黑客几乎不可能伪造它。Burp Suite虽说无法伪造,但并不代表我们就不能绕过它。这里,不得不提及一款web渗透神器Burp Suite。在Burp上有多种配置其使用宏来绕过HTM……

CrackMapExec:一款针对大型Windows活动目录(AD)的后渗透工具

CrackMapExec(CME)是一款后渗透利用工具,可帮助自动化大型活动目录(AD)网络安全评估任务。其缔造者@byt3bl33d3r称,该工具的生存概念是,“利用AD内置功能/协议达成其功能,并规避大多数终端防护/IDS/IPS解决方案。” 尽管该项目主要用于攻击性目的(例如红队),但蓝队同样可以使用该工具来评估账户权限,模拟攻击,查找配置错误。……

Windows内核漏洞利用提权教程

PS. 本文仅限于技术讨论,严禁用于其他用途。继上一篇“使用自动化脚本进行Windows提权”,本文将介绍有关Windows内核漏洞提权的方法。我将使用内置的Metasploit模块作为演示。通过本文的学习,你将了解系统的哪些部分可被利用,并匹配最佳可利用模块进一步的提升权限。Windows-Exploit-suggesterMetasploit内置……

WINSpect:基于Powershell的Windows安全审计工具

WINSpect是一款基于Powershell的Windows安全审计工具,可用于枚举和识别Windows平台的安全漏洞,以进一步的优化和加固平台的安全防护策略。安装使用管理员权限打开Powershell并运行WINSpect脚本。特性WINSpect将为我们提供审计检查和枚举:已安装的安全产品本地文件系统共享具有本地组成员身份的域用户……

一种绕过UAC的技术介绍_申博Sunbet

最近,我发现了一种非常有趣的可用来绕过UAC,并以High Mandatory Level启动进程的方法。下面,让我来重现这个过程。1. 以常规用户身份启动cmd.exe。2. 确认完整性级别:C:\test>WHOAMI /Groups | FIND "S-1-16"Mandatory Label\Medium Mand……

Beebug:一款用于检查bug可利用性的工具_申博Sunbet

beebug是一款用于检查bug可利用性的工具。该工具发布于上周在巴塞罗那举行的r2con 2018会议上。以下是一些已实现的功能:libc堆栈溢出程序计数器崩溃branch崩溃写内存崩溃堆漏洞读取访问冲突(一些可利用的用例)崩溃分析(视图)依赖包,申博 Sunbet申博 Sunbet合作开户热线:177445……

Invoke-TheHash:PowerShell实现的哈希传递攻击套件_Sunbet 申博

Invoke-TheHash项目是一个基于.Net TCPClient,通过把NTLM hash传递给NTLMv2身份验证协议来进行身份验证的攻击套件,且执行时客户端不需要本地管理员权限。安装环境PowerShell 2.0及以上。导入Import-Module ./Invoke-TheHash.psd1或. ./Invoke-WMIExe……

技术讨论 | Apostille:让假证书以假乱真的证书伪造工具_申博 Sunbet

严正声明:本文仅限于技术讨论,严禁用于其他用途。在DefCon 26上,@singe 和 @_cablethief 发表了关于企业无线攻击的精彩演讲。如果你仔细观看了之后放出的演讲视频,你应该能注意到其中他们提及了一个叫做“Apostille”的工具。这是一款由@Sensepost团队成员Rogan Daweska开发的,证书窃取(克……

SSH-Auditor:一款SSH弱密码探测工具_申博官网

ssh-auditor是一款可帮助你探测所在网络中ssh弱密码的工具。特性以下操作ssh-auditor都将自动化的完成:添加新凭据时,重新检查所有已知主机,并且只检查新凭据。在任何新发现的主机上,队列一个完整的凭据扫描在任何更改了ssh版本和密钥指纹的已知主机上,队列一个完整的凭据扫描尝试执行命令以及TCP隧道连接。定时重新检查一遍(sca……

技术讨论 | 使用CredSniper获取双因素认证令牌_Sunbet 申博

前言面对日趋严峻的网络安全形式,企业也不断的变换着他们的安全防护方案。越来越多的企业开始对GSuite和OWA等外部服务,推出强制性的2FA验证。这一举措为外部边界创造了更高级别的安全性,但同时也促进了攻击者对捕获2FA令牌技术的不断创新。近些年,网上也出现了许多有关窃取2FA令牌的技术手段。在某些情况下,攻击者会尝试欺骗移动电话上的GSM,或是尝……

Munin:依据文件Hash从各种在线恶意软件扫描服务提取信息的工具_Sunbet 申博

_________ _ _ ______ _____ ______| | | | | \ | | | | | | \ \ | | | | \ \| | | | | | | | | | | | | | | | | | | ||_| |_| |_| \_|__|_| |_| |_| _|_|_ |_| |_……

经由过程SSTI破绽猎取服务器近程Shell_Sunbet 申博

PS:本文仅作为手艺分享,制止用于任何合法用处本文我将为人人演示,怎样运用服务器端模板注入(SSTI)破绽,来猎取运用托管服务器上的shell。模板引擎(这里特指用于Web开辟的模板引擎)是为了运用户界面与营业数据(内容)星散而发生的,它能够天生特定花样的文档,用于网站的模板引擎就会天生一个规范的HTML文档。静态模板文件会在运行时将变量/占位符替换为H……

Office文档嵌入工具点击实行的社工技能_Sunbet 申博

简介Microsoft Office置信人人都用过。Office在文档中嵌入工具极大的轻易了我们的一样平常运用,但同时也为我们带来了浩瀚平安题目。能够说,Office文档为进击者供应了种种要领来诳骗受害者运转恣意代码。固然,进击者也能够会实验应用Office破绽,但更罕见的状况是,进击者会向受害者发送包罗歹意宏或嵌入式(Packager)可实行文件的Off……

Scrounger:iOS和Android挪动应用程序渗入渗出测试框架_Sunbet 申博

Scrounger是一个模块化的挪动运用程序渗入渗出测试框架对象。它将Android和iOS这两个支流的挪动操纵系统同时整合到了一个框架中,极大的轻易和知足了我们一样平常义务的需求。别的,Scrounger还具有运用轻易、文档雄厚、易于扩大等长处。视频简介Scrounger由很多模块构成,这些模块都建立在一个壮大的中心之上。如许做的优点是,可以或许像M……

Pacu:一款周全的AWS渗入渗出测试框架_Sunbet 申博

配景亚马逊AWS云效劳平台是环球最受迎接的云平台之一。因为其成本低、灵活性强、速度快等上风,吸收了少量的企业客户,越来越多的企业最先将其手艺资产转移到了云端。跟着形式的改变,Sysadmin和DevOps团队也不能不面临随之而来的新平安应战。这已不只仅是平安意识缺失的题目。即使是一些大型企业(如GoDaddy和Uber)也曾因AWS设置装备摆设缺点……