啥也不想讲了,上福利把~ 刚刚在某黑客论坛看到了一款社工字典生成器,当然也可以理解为密码爆破工具 接下来我会给大家简单的介绍一下这款工具,随后把下载地址给各位附上的 这个社工字典是一款为了社工而生的工具,它基于一个简单的理念,即用给定的用户信息去生成相应的密码。使用的时候只需任何输入任何有关的信息, ...
分类:
其他好文 时间:
2018-05-10 13:23:47
阅读次数:
1761
基于web安全深度剖析第一章 记作自己的学习笔记,记录学习路径,希望大家一起交流学习,小白有不对的欢迎指出?? 渗透的必需条件:攻击者的计算机与服务器必须能够正常通信 早期黑客攻击方式:端口扫描,一些服务的密码爆破(FTP,数据库),缓冲区溢出攻击等直接获取目标权限 web即web应用程序 web要 ...
分类:
Web程序 时间:
2018-03-18 20:16:22
阅读次数:
319
事件描述 有一漏洞为XX(公司主业务,一知名网站)的密码爆破重置。初一看没在意,因为今天是在看了各种爆破。后经提醒是XX的,漏洞存在的话实在是严重,我甚至能从我认识的人中找出几个来拿到他们的账号和里面的信息。 漏洞描述 密码重置的手机验证码是四位的,保证了时间上足够爆破成功。 但是网站本身是有次数限 ...
分类:
其他好文 时间:
2018-01-06 22:14:22
阅读次数:
206
恢复内容开始 暴库 下载漏洞 site:cracer.com inurl:down.asp(php等) 后台密码爆破: 得到后台之后弱口令猜解: 常见初始密码弱口令: admin、admin888、admin123、123456、111/123/111111等 逻辑万能密钥: ‘or’='or' A ...
分类:
其他好文 时间:
2017-07-31 23:25:42
阅读次数:
212
本章内容主要包括: 基本信息收集 网站后台查找 CDN绕过方法 1、信息收集 域名信息收集 使用layer可扫到子域名,使用时把www去掉 知道ip可用御剑查域名也可以查C段 查旁站 2、敏感目录 搜集敏感目录搜集信息 robots.txt:判断CMS 后台目录:弱口令,万能密码,爆破 安装包:获取 ...
分类:
其他好文 时间:
2017-07-22 18:19:25
阅读次数:
329
这个漏洞比较简单。 我们看到配置文件来。/include/common.inc.php 第86-94行。 如果获取不到HTTP_CLIENT_IP的环境变量,返回false,往下执行。接着就获取HTTP_X_FORWARDED_FOR的环境变量,这个变量用户是可控的,所以我们可以伪造HTTP_X_F ...
分类:
Web程序 时间:
2017-05-29 12:53:19
阅读次数:
372
初学安全,我也不知道从哪里开始,网上找了点教程,接触了DVWA,我用自己的服务器搭建了一个平台,从头开始看。第一个模块就是Brute Force,说白了就是暴力破解。然后我发现,我操,这玩意儿跟我写的爬虫贼像???? 原理应该就是先抓包,然后伪造一个header,不停的改变密码,然后post上去,找 ...
分类:
其他好文 时间:
2017-04-25 00:50:49
阅读次数:
230
遇到了以下问题: 1. 字典里获取出来的字符需要编码(utf-8)才能被extractall识别 2. 开启线程爆破后如何检测所有线程执行完毕?(提示爆破失败) ...
分类:
编程语言 时间:
2016-11-29 07:01:39
阅读次数:
143