杂术馆

欢迎光临
我们一直在努力

最新发布

web攻防

置顶: 新上线威胁情报分析平台之Vxcube

ange阅读(3769)

平台简介我们开发的 vxcube 恶意代码检测平台是一款使用机器学习算法帮助用户判断文件中是否存在恶意代码的检测平台,致力于为用户提供免费的恶意代码检测服务。网站地址http://www.vxcube.com功能实现平台对用户提交的文件提供...

web攻防

不常见的xss利用探索

ange阅读(29)

反射型xss,相对于持久型xss来说比较鸡肋;需要欺骗用户点击构造好的链接,达到窃取cookie,或是进一步CSRF劫持用户操作的目的。若是get型的xss,javascript代码直接在url中,虽然有些怪异,也好歹能用,愿者上钩。但是若...

web攻防

隧道技术(一) – DNS隧道

secange阅读(36)

前两天和朋友说到代理,随之讨论了一下关于隧道技术,之前也发过一篇关于DNS隧道技术的文章,不过感觉没有写好,今天就重写一下关于隧道技术的总结; [Read More…] ...

web攻防

攻击者利用Outlook Forms 实现横向移动并获取持久化

ange阅读(36)

最近,CrowdStrike的安全人员在一起事件调查中发现了攻击者利用Outlook Forms进行横向移动、获得持久化,这种攻击方式不是使用常规的宏函数执行恶意代码,而是使用Outlook中的自定义窗体的功能,一旦用户打开或预览邮件,就允...

web攻防

利用Microsoft RTF文件(CVE-2017-0199)攻击Win10

secange阅读(42)

Microsoft Word可以利用恶意RTF文件进行攻击,在本文中,我们使用python脚本对MS-word 2013进行了0day攻击,该脚本会生成恶意的.rtf文件,并提供目标系统的meterpreter会话。 [Read More…...

web攻防

窃取NTLM HASH的多种奇妙方法

secange阅读(43)

在PHP中利用include()函数实现解析网络路径的目的在这里,我使用“php://filter/convert.base64-encode/resource=”脚本来解析网络路径。 [Read More…] ...