蜗蜗侠's Blog-关注网络安全移动版

  • OpenSSH现中危漏洞,可致远程代码执行

    日期:2016-12-24 10:02:29 点击:123 好评:0

    漏洞编号 CVE-2016-10009 漏洞等级 中危 漏洞影响 OpenSSH 7.3及以下版本 漏洞描述 漏洞出现ssh-agent中,这个进程默认不启动、只在多主机间免密码登录时才会用到。sshd 服务器可以利用转发的 agent-socket 文件欺骗本机的 ssh-agent 在受信任的白名单路径以...

  • iOS安全审计入门

    日期:2016-12-24 09:59:49 点击:52 好评:0

    此前有人统计过2015年漏洞最多的产品,苹果的OSX与iOS系统分别占据第一二名,虽有人怀疑统计数据可能存在重复的不准确情况,但相信大趋势是不会变的。 而今年国内一家机构发布的手机安全报告指出,32.3%的用户明确表示自己曾经在手机上遭受过风险危害,而遭...

  • KALI LINUX安装Metasploitable 3

    日期:2016-12-24 09:57:07 点击:116 好评:0

    为了满足你们强烈的欲望,这里就再介绍一下KALI Linux 最新版环境下安装Metasploitable 3的步骤吧,不要在虚拟机中再安装虚拟机,否则可能会识别不了BIOS中的VT-X是否开启,我这KALI LINUX 64位是直接安装在电脑上的。 1、安装virtualbox virtualbox安装的姿...

  • 一次简单的漫游内网附带对jboss安全性的讨论

    日期:2016-12-23 09:40:18 点击:176 好评:0

    讲这个之前,先在本地搭建一个jboss环境,自从上次被吊打之后,觉得做安全的多少要会点防御,以前把太多精力放在攻击上面了。这就当做一个学习笔记,三件套,攻击过程,修复过程,自动化脚本。 ## 漏洞复现 jmx-console 先安装docker镜像,docker pull tutum...

  • MySQL提权综合姿势

    日期:2016-12-21 09:07:40 点击:155 好评:0

    致力于书写ichunqiu社区历史上最长篇最细致最真实的技术复现文章。 文章目录: MySQL之UDF提权 MySQL之MOF提权 MySQL之常规写启动项提权 导出木马到启动项提权 反弹端口提权 MySQL提权综合姿势 part1 mysql之UDF提权 首先什么是UDF? UDF为` User Defined Fun...

  • 详解vmware Linux下vmtools的安装

    日期:2016-12-19 14:50:14 点击:102 好评:0

    文章标题所指的Linux除了kali 2016外(kali rolling),其他的像cent os、 kali 2.0 、ubuntu、 red hat等Linux发行版。最新的kali 2016官方文档已经声明:使用open-vm-tools代替原先的vmtools,所以这就是最新的kali 2016(代号rolling)无法安装vmtools或者...

  • Metasploit利用拒绝访问漏洞(MS12-20)D垮03服务器

    日期:2016-12-19 14:45:17 点击:94 好评:0

    前段时间安装了几款扫描器,当时没有来得及测试扫描效果,今天看了《 Metasploit的渗透测试指南 》,一时兴起遍使用了我的 NeXpose 和 Nessus 扫了下我的服务器 首先是Nessus的扫描结果概况图 第一个红色的显示危及漏洞的,我们忽略掉它,它的大概意思就是:...

  • Redis未授权访问漏洞的利用姿势

    日期:2016-12-18 14:36:10 点击:64 好评:0

    0x01 Redis简介 redis是一个key-value型数据库,信息以键对应值的关系存储在内存中,当然可以 把其存储至硬盘上。项目中使用redis做任务队列的存储器可以很容易实现分布式,另外也开始流行使用redis作为session的存储器来替换传统的 文件方式。在默认情况下,...

  • IIS短文件名暴力猜解漏洞分析

    日期:2016-12-18 13:54:30 点击:101 好评:0

    昨天写了个IIS短文件名暴力猜解漏洞的利用脚本(比网上传播的那个Java POC能猜解出更多文件和文件夹)。 在此,把漏洞做个简单的分析和总计。 1. 漏洞的成因 为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件...

  • APP上的任意账户密码修改漏洞

    日期:2016-12-17 09:11:34 点击:186 好评:0

    说点什么先 这是一个手机APP上的任意账户密码修改漏洞 为什么说这个漏洞有点意思呢? 与其说它有点意思 不如说这个漏洞是很多新手程序员普遍都会犯的错 开始演示 首先我已经在这个APP上用自己的手机号注册了一个账户 然后我们使用这个APP上的找回密码功能 输...