黑客技术 - CNHACK

中文黑客网 发布于 3-17

今天分享的文章是对HTTPPUT方法开启漏洞的多种应用讲析，在实战场景中，首先我们要确定目标网站是否启用了HTTPPUT方法，如果启用的话，我们就可以结合多种利用工具和相关方法，向目标网站上传Meterpreter反弹shell，实现进一步的渗透控制。一起来看看。HTTPPUT方法介绍HTTPPUT方法最早目的用于文件管理操作，可以对网站服务器中...

阅读(263) 评论(0)

中文黑客网 发布于 2-21

近期在一次演练行动中，对某目标进行了一次渗透测试，期间用到了sqlmap的中转注入技术，还是很有收获的，记录下来和大家共同分享，由于是实战，免不了部分地方是要马赛克的，大家见谅。免责声明：本文中提到的漏洞利用方法和脚本仅供研究学习使用，请遵守《网络安全法》等相关法律法规。手工注入打开网页，拉到最底看到是感觉历史有点悠久了，应该是有现成的漏洞了。查...

阅读(272) 评论(0)

中文黑客网 发布于 1-15

1.      介绍 https://www.vultr.com 一个挺有名的vps服务商  用邮箱注册，支持支付宝 watch付款。支付自定义iso安装。可以利用这个安装kali渗透测试系统。 2.  &n...

阅读(525) 评论(0)

中文黑客网 发布于 1-9

0x01简述floor报错注入也有叫group报错注入的，都一样，指的都是他们。floor报错注入我想大多数人跟我一样，都是会用而不明白其中的原理。这个问题困扰了在下好长时间了，所以决定好好研究下，最终产出了这篇文章，如果各位观众老爷觉得写的还行，麻烦点个关注，如果有问题也请直接联系指正，在下有礼了~0x02环境介绍下我的测试环境：MySQL版本...

阅读(389) 评论(0)

中文黑客网 发布于 12-23

前言本文以最新版安全狗为例，总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法，希望能起到抛砖引玉的效果。如果师傅们有更好的方法，烦请不吝赐教。PS：本文仅用于技术研究与讨论，严禁用于任何非法用途，违者后果自负，作者与平台不承担任何责任测试环境PHPStudy（PHP5.4.45+Apache+MySQL5.5.53）+最新版安全狗（...

阅读(319) 评论(0)

中文黑客网 发布于 12-23

PatchCheckerPatchChecker是一款基于Web的Windows漏洞检测工具，该项目代码目前以网络服务的形式托管在https://patchchecker.com上。简而言之，PatchChecker是一个基于Flask实现的Web应用程序，它所提供的输出内容类似于Watson。但是，通过使用PatchChecker，我们将不需要...

阅读(322) 评论(0)

中文黑客网 发布于 12-14

ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 工作原理Apache Shiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe，cookie的值是经过对相关信息进行序列化，然后使用aes...

阅读(306) 评论(0)

中文黑客网 发布于 11-10

前言前几天看到B站up主公孙田浩投稿的视频「QQ被盗后发布赌博广告，我一气之下黑了他们网站」，看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的XSS漏洞案例，在安全圈子里面应该也算是基本操作，正好博客以前没有记录过类似的文章，那么本文就来还原一下这个攻击过程。鉴别网站下面是一个经典的QQ空间钓鱼网站：域名分析钓鱼网站最...

阅读(358) 评论(0)

中文黑客网 发布于 9-28

当你使用Smarter的物联网咖啡机，那么，问题来了。2015年，Smarter产品首次暴露安全问题，研究人员发现他们可以恢复第一代SmarteriKettle咖啡机中使用的Wi-Fi加密密钥。随后，再次发现第2代iKettle和当时更智能的咖啡机的版本还存在其他问题，比如没有固件签名、ESP8266（构成设备大脑的芯片组）内部没有可信赖的安全区...

阅读(1256) 评论(0)

中文黑客网 发布于 9-16

0x01生成powershell脚本PS：本文仅用于技术研究与讨论，严禁用于非法用途，违者后果自负前几天看了Y4er大佬免杀思路文章，我按照他的思路扩展了下总结的方法给大家参考，如有问题请大佬执教。首先通过CobaltStrike生成的powershell脚本。Set-StrictMode-Version2$DoIt=@'functionfunc...

阅读(414) 评论(0)

中文黑客网 发布于 9-15

首先，我声明。本文章内容全部都是真实的，没有任何瞎编乱造加工。还有些想和各位读者说的话，我放在了文章的末尾。实际上我说的三个月只是最近，而事实上，我在四年前，就知道有这么一条黑色产业链，但是当四年后，我再次看到这条黑色产业链时，我惊呆了，因为它变的越加庞大了，就算是现在，我也只是看见了一条肥硕的腿部。我们的梳理从利用木马病毒诈骗到网络刷单诈骗，一...

阅读(531) 评论(0)

中文黑客网 发布于 9-12

前言环境准备安全哈最新版WindowsServer2008BT一件部署Apache+PHP5.4 IP:10.211.55.29upload-labs第一关开始上传上传这面是这个样子滴。第一步：上传一般图片,使用burp抓包观察。POST:POST/Pass-01/index.php?action=show_codeHTTP/1.1Ho...

阅读(310) 评论(0)

中文黑客网 发布于 9-11

近日，由于家人一部手机被盗，自己经历一场与一伙专业老练的利用窃取个人信息盗取他人银行账户资金的犯罪团伙的持续斗争，把这个比作一场战争，显然自己败了，败得没那么惨而已。但以一己之力对抗一个分工明确、手法专业的团伙，且能在败后分析揭露对手的攻击方法、路径，虽败，犹荣。第一次码这种文章，没有华丽的文字，只有流水账本的叙述，但其中情节跌宕起伏，一波三折，...

阅读(364) 评论(0)

中文黑客网 发布于 9-10

前言在学习CISSP密码学时了解到侧信道攻击(又称边信道攻击、旁路攻击side-channelattack)，攻击者通过测量功耗、辐射排放以及进行某些数据处理的时间，借助这些信息倒推处理过程，以获得加密秘钥或敏感数据。本文将从实践角度尝试一种侧信道攻击方法，主要关注特殊场景下的信息泄漏方式。相关案例首先通过2个案例来直观了解下侧信道，2017年一...

阅读(308) 评论(0)

中文黑客网 发布于 9-9

这次挖漏洞时并没有什么有难度的操作，只是当时的一个突然的想法，在网上搜了之后发现关于这种想法的文章很少（几乎没有），所以打算发出来分享一下。涉及漏洞，验证码通用、验证码爆破思路：在有些网站中，登录处的验证码都做了防护无法爆破，而其他的一些地方验证码可以爆破，却没什么大用；但是有的时候两个页面的验证码是通用的，这时如果在一个网页里爆破出了验证码，另...

阅读(353) 评论(0)

中文黑客网 发布于 9-4

【漏洞说明】该漏洞是nginx的解析漏洞，phpStudy默认使用的nginx版本是Nginx1.15.11。nginx在解析文件时，由于错误的配置造成文件以错误的格式执行。phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即...

阅读(343) 评论(0)

中文黑客网 发布于 8-9

关于新手如何入门黑客技术，黑客技术入门该怎么学的问题网络上有各种各样的说法，有说要先掌握计算机操作系统原理和计算机软硬件原理的，也有说要先学习各种编程语言的，甚至有人认为会利用现成的软件盗QQ号和什么刷钻盗Q币等都叫黑客，其实他们充其量也就是个利用工具的脚本小子，距离真正的黑客不知差到哪里去了，那么看了这么多介绍黑客技术入门该学什么的文章后我们还...

阅读(7007) 评论(0)