黑客对暗网最大网络托管商下手,约6500个网站数据无法复原

MA2安全团队 | 新闻 | 2018-11-21
前言 2017年,“匿名者”组织攻击并拿下了暗网托管商Freedom Hosting II后,Daniel’s Hosting一跃成为最大的暗网托管商。 11月15日星期四(UTC),黑客开始对Daniel’s Hosting下手,删除了6500多个网站数据,Daniel’s Hosting后台开发人员Daniel Winzen确认超过这些网站的数据遭到彻底删除,根据 [阅读全文]

适用于渗透测试不同阶段的工具资源收集整理(武器库)

侦察 主动情报收集 EyeWitness:可用于网站截图,以及提供一些服务器头信息,并在可能的情况下识别默认凭据。https://github.com/ChrisTruncer/EyeWitness AWSBucketDump:AWS S3安全扫描工具,允许你快速枚举AWS S3 buckets以查找有趣或机密的文件。https://github.com/ [阅读全文]

如何构建自己的渗透测试环境

 大家好我是谁不重要,扪心自问一下,你是想成为一个激情四射的渗透测试者,还是一个无法无天的黑客?万事开头难,你想先从基础学起,于是在Google上搜索“hacking”、“hacker”等一堆关键词,结果得到一堆弱智的教程。     比如,有的教程教你如何使用alfa awus036h网卡来黑掉邻居的wpa网络(然而你并 [阅读全文]

Metinfo 5.X版本利用后台文件漏洞可getshell

0x00 前言 2018年1月底某CMS官方隆重发布6.0版本,调整了之前“漏洞百出”的框架结构,修(杜)复(绝)了多个5.X的版本后台Gestshell漏洞。 0x01安装过程过滤不严导致Getshell 前提:有删除/config/install.lock权限 1. 结合网上爆出的后台任意文件删除漏洞 #/admin/a [阅读全文]

新型银行木马病毒MysteryBot Android深度分析

近日,国外某安全公司发现一种新型银行木马病毒MySteryBot Android,该病毒为银行木马LokiBot  Android的变种, 其恶意行为除了利用银行木马窃取金融信息外,还包括恶意监视键盘、植入勒索软件进行勒索操作。经分析发现该木马病毒已适配Android7.0和Android 8.0,一旦被恶意传播,Android7.0和Android 8.0的所有设备均有被感染的可 [阅读全文]

浅谈Arp攻击和利用Arp欺骗进行MITM

arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问(单向欺骗)。下面着重讲一下中间人攻击的原理,配和实战演练分析,不对的地方,还请大家多多反馈和包涵!   MITM 借用Wiki百科的一个比喻来理解MITM(中间人攻击): &nb [阅读全文]

入侵4万余个网站设暗链 三名90后黑客一年牟利千万

MA2安全团队 | 新闻 | 2018-07-07
四川在线消息(付江 记者 祖明远)7月5日,正在绵阳某看守所内的汪某和另外两名“小伙伴”显得萎靡不振,而就在4个月前,他们还都处于“打了鸡血”的状态:只用几台电脑,他们“黑”进了多个政企网站,短短一年内便“赚到”人生中的第一个1000万。  多个政府网站后台惊现境外赌博网站链接 2017年6月28日,绵阳市公安涪城网安大队民警在日常巡逻中发现,一家数码公司的 [阅读全文]

sql手工注入

1.判断有无注入点 ; and 1=1 and 1=2

阅读全文>>

获取webshell的十种方法

黑客在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。本篇文章将如何获取webshell总结成为了十种方法,希望广大的企业网络管理员能够通过了解获取webshell的途径,对企业自身进行防范。

阅读全文>>

ė484次浏览 61条评论 0 渗透 渗透思路

渗透初级篇

网站入侵思路(初级黑客渗透篇)

阅读全文>>

记一次渗透测试过程中的Zabbix命令执行利用

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。管理员在安装配置Zabbix过程中,使用了弱口令或默认的用户名与口令(Admin/zabbix),这样,Zabbix服务器的用户认证就形同虚设。

阅读全文>>


Ɣ回顶部