存档

文章标签 ‘黑客’

对www.360xxxx.com的安全监测

2015年9月23日 10 条评论

说明

本次渗透入侵仅以发现问题为主,未做任何破坏性行为
为了保证目标站点的信息安全,图片中已经打码,以下目标URL用www.360xxxx.com代替
近日闲来无聊,刚好Roland想学习一下安全方面的相关技术思路,在百度上随便找了一个存在注入的站,结果一路坎坷,花了好几小时才撸下服务器,遂记录一下思路

入侵过程

获取信息部分很简单,在URL的各个参数上加上单引号,发现爆出来了路径


拿到了网站的绝对路径

同时确认该站存在注入,在使用sqlmap跑过之后,也是证实了这个想法


然后开始用sqlmap跑库跑表跑数据,跑出来数据一看,吓尿了,居然是明文存储的密码
阅读全文…

分类: 实战入侵 标签: , , ,

对www.lanxxx.com的实战入侵

2015年3月12日 4 条评论

说明

本次渗透入侵仅以发现问题为主,未做任何破坏性行为
为了保证目标站点的信息安全,图片中已经打码,以下目标URL用www.lanxxxx.com代替

获取信息

我使用BugScan对目标站进行了扫描,发现了一个因为IIS配置失误而导致的目录遍历,于是以此作为主要切入点做信息收集


在主站上看了半天,除了一部分页面的未授权访问以外,没找到任何比较有利的信息
在查看主站源代码的时候发现一个分站
阅读全文…

分类: 实战入侵 标签: , ,

记一次反爆黑阔菊花

2013年11月13日 7 条评论

因为之前西电比赛,而因为我当时国庆节外出旅游,又十分想参加比赛,所以找残废那厮要了一个VPS,登上去之后发现有个进程不对劲,

系统进程列表里多了一个自启动项fwq.exe
是以我的账号的身份登录的

立马感觉就不对劲,不过当时沉醉于西电的比赛,这个事情倒没有多在意
等到今天回学校之后才好好的去看这个玩意,首先有几个东西很搞笑,
阅读全文…

分类: 实战入侵 标签: ,

不要招惹黑客

2013年11月13日 1 条评论

某天在群里和几个基友扯淡。聊到如何运用黑阔手段给自己报仇或者威胁他人。。让我深深的感受到。。不要招惹黑阔,黑阔你惹不起,也躲不起….

0x00 注意

千万不要招惹黑阔,否则后果自负
阅读全文…

分类: 其他杂类 标签: