最新消息:

2014年07月的内容

记撸过高中母校站点
别人渗透网站学习

记撸过高中母校站点

admin 3年前 (2014-07-31) 1152浏览 0评论

Auther:ki11y0u Time:2014.07.27 前几天无意间点开一个网站,打开一看xxx高级中学,我的娘啊鸡冻,母校,(只记得当初上学的时候,还没有网站。只听说搬走被人收了,捐到政府了,就是有钱啊) 最近大家看到基友在搞母校,然后你懂的...

实时美观的用户访问视图
工作

实时美观的用户访问视图

admin 3年前 (2014-07-30) 666浏览 0评论

1、依赖python2.6~2.7版本模块的支持,python已经是2.6或2.7版本略过此步骤 wget [url]http://www.python.org/ftp/python/2.7.3/Python-2.7.3.tgz[/url] ta...

NTFS中的ADS的一些问题(Mysql建目录,隐藏webshell等)
安全知识

NTFS中的ADS的一些问题(Mysql建目录,隐藏webshell等)

admin 3年前 (2014-07-30) 900浏览 0评论

有关ADS的简单说明请看:NTFS不利的一面 可以看到ADS在很久以前就被一些安全人员所关注,并且也提出了一些经典的利用,比如隐藏文件,隐藏webshell(交换数据流(ADS)与IIS的前世与今生),随着这次爆出来的IIS的权限绕过,我们再次测试了...

奇人绝技:利用php socket5代理进行内网渗透测试
PHP

奇人绝技:利用php socket5代理进行内网渗透测试

admin 3年前 (2014-07-30) 1329浏览 1评论

ps:利用此方法快速利用php空间来建立http代理。 在渗透测试中,经常会遇到的情况是拿到了webshell,但是webserver在内网,做的web端口映射对外提供web服务。如果有防护软件 使得服务器权限变态到你无法创建socket代理和端口转...

windows版tcpdump
工具

windows版tcpdump

admin 3年前 (2014-07-30) 1530浏览 0评论

渗透内网时,一般我会抓包看看内网的数据,会对内网结构有一定的认识 不过windows命令行下抓包的工具比较难找,windump确实是命令行下的,但是它需要安装winpcap,而winpcap从3.0开始官方就已经不提供nogui的安装包了 无奈只得自...

HTML5新功能WebSocket的学习与备忘-PHP版
工作

HTML5新功能WebSocket的学习与备忘-PHP版

admin 3年前 (2014-07-30) 1204浏览 0评论

首先认识HTML5的websocket: 在HTML5规范中,我最喜欢的Web技术就是正迅速变得流行的WebSocket API。WebSocket提供了一个受欢迎的技术,以替代我们过去几年一直在用的Ajax技术。这个新的API提供了一个方法,从客户...

取代cookie的网站追踪技术:”帆布指纹识别”初探
工作

取代cookie的网站追踪技术:”帆布指纹识别”初探

admin 3年前 (2014-07-30) 4144浏览 0评论

博文作者:rices 发布日期:2014-07-28 阅读次数:2203 博文内容:   【前言】 一 般情况下,网站或者广告联盟都会非常想要一种技术方式可以在网络上精确定位到每一个个体,这样可以通过收集这些个体的数据,通过分析后更加...

不就戒个烟嘛
未分类

不就戒个烟嘛

admin 3年前 (2014-07-29) 1178浏览 2评论

有人曾说,不要和一个戒过烟的男人在一起。作为一个男人,连戒烟都做得到,他还有什么事情做不出来? 我是一个戒过烟的人,但是他们都说我这个算不上戒烟。我烟龄不长,不过四五年,日常最多不过五根,相比那些动辄一天一包的人来说,只能算得上是小儿科。 抽 烟这事...

新浪微博推荐介绍
业界新闻

新浪微博推荐介绍

admin 3年前 (2014-07-27) 956浏览 1评论

——谨以此文献给曾经努力过以及正在努力的微博推荐团队成员 推荐系统就是自动联系用户和物品的一种工具,它能够在信息过载的环境中帮助用户发现令他们感兴趣的信息,也能将信息推送给对它们感兴趣的用户。——项亮《推荐系统实践》 本文作为该博第一篇,在这里暂...

TSRC挑战赛: PHP防御绕过挑战实录
PHP代码审计

TSRC挑战赛: PHP防御绕过挑战实录

admin 3年前 (2014-07-27) 1133浏览 2评论

博文作者:雪人[TSRC白帽子] 发布日期:2014-07-23 阅读次数:1282 博文内容:   前一段时间有幸参加了由TSRC 发起的一个挑战赛。目标环境运行着一个正常的discuz应用,并且存在一个上传接口,该接口允许上传任意文件,...

解析检查 —— 存储型XSS漏洞解决方案
xss

解析检查 —— 存储型XSS漏洞解决方案

admin 3年前 (2014-07-27) 677浏览 0评论

博文作者:大马胖子 发布日期:2014-06-24 阅读次数:675 博文内容:   TSRC编者按: Web2.0时 代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,...

绕过括号过滤实现XSS弹框
xss

绕过括号过滤实现XSS弹框

admin 3年前 (2014-07-27) 2897浏览 0评论

在客户现场遇到一个XSS,但过滤了括号(),没办法给客户弹框演示,所以需要绕过。 urlencode和htmlencode之类常规的都绕不了,并且类似alert、confrim、prompt之类的函数都有括号,这就犯了难了。 后来想了想,可以用dat...

如何定位获取IP是否为最终网站IP地址
安全知识

如何定位获取IP是否为最终网站IP地址

admin 3年前 (2014-07-27) 826浏览 0评论

1.问题来源概述 我们在日常的渗透工作中、或接单中通常需要通过客户提供的域名信息解析其公网地址, 这方面的工具很多(比如通过系统自带的nslookup命令或站长工具等)我就不再浪费篇章了。但是 由于目前网站加速技术的普遍应用(比如CDN加速),导致我...

WordPress 又拍云存储插件 Upyun For WordPress
wordpress

WordPress 又拍云存储插件 Upyun For WordPress

admin 3年前 (2014-07-27) 791浏览 0评论

又拍云存储 是一个静态文件CDN加速服务,又拍云存储分布全国的 CDN 加速网络,采用电信、联通、移动、教育网四线带宽,不限制带宽峰值,并通过高速缓存、智能解析、负载均衡技术,为用户计算最快访问机房,与传统的IDC相 比,图片打开速度提升60%-30...

Python 爬虫抓站的一些技巧总结
Python

Python 爬虫抓站的一些技巧总结

admin 3年前 (2014-07-26) 3236浏览 1评论

“入门”是良好的动机,但是可能作用缓慢。如果你手里或者脑子里有一个项目,那么实践起来你会被目标驱动,而不会像学习模块一样慢慢学习。 另 外如果说知识体系里的每一个知识点是图里的点,依赖关系是边的话,那么这个图一定不是一个有向无环图。因为学习A的经验可...

Ubuntu下安装Redis
linux

Ubuntu下安装Redis

admin 3年前 (2014-07-26) 806浏览 0评论

1.获取redis源码 wget http://download.redis.io/releases/redis-2.8.13.tar.gz 2.解压,设置权限 tar zxvf redis-2.8.13.tar.gz chmod 777 redi...

关于redis、memcache、mongoDB 的对比
工作

关于redis、memcache、mongoDB 的对比

admin 3年前 (2014-07-26) 672浏览 0评论

从以下几个维度,对redis、memcache、mongoDB 做了对比,欢迎拍砖 1、性能 都比较高,性能对我们来说应该都不是瓶颈 总体来讲,TPS方面redis和memcache差不多,要大于mongodb 2、操作的便利性...