内容速览
漏洞利用核心代码,是MSF重要一环
wireshark就是非常著名的嗅探器
12345就是非常著名的弱口令
软件的缺陷就是漏洞
这个漏洞可以让黑客执行自己的命令
只有自己知道的漏洞
刚刚公开的漏洞
已经发布了补丁,但是用户没有安装补丁的漏洞
篡改受害者网站首页
漏洞挖掘,提交到漏洞盒子平台
加密软件代码,防止被逆向破解
对用户输入没有做限制,可能造成系统崩溃
在缓冲区中写入超出容量的数据
向系统中写入代码或执行命令
向数据库中注入SQL语句,改变原本的功能
某个网页请求了数据库,这个网页就是潜在的注入点
暴露软件的原本信息,方便进行后续的逆向分析
绕过杀毒软件或防火墙
高频率的尝试
高频率的占用网络资源,阻止别人正常使用
疯狂消耗TCP半连接队列
拒绝服务就是让用户用不了,可以封号解决
分布式拒绝服务就是人多力量大,封号也解决不了
就是利用1day或者N day 疯狂控制有漏洞的电脑
就是通过工具探测端口/服务是否开放
把安全分析人员搞的耳鸣眼花的无用代码,对抗分析
绕过防火墙的限制
网络诈骗信息,比如搞个假的QQ邮箱,说你密码泄露,骗你改密码
针对特定人群进行网络钓鱼诈骗,比如色情诱惑年轻人
针对高管进行网络诈骗,比如乐视骗股东的钱
在受害者经常访问的网站上投毒,让受害者非常坚信骗子是好人
高级持续威胁,各个国家都有APT组织,多存在军方背景
命令控制,对大量肉鸡进行统一管理
攻击银行的上游供应商
就是利用人性的弱点进行骗人
就是入侵网站,拿到网站控制权
就是拿到主机的控制权
就是有深度的入侵,比如kali工具箱的MSF
入侵后,寻找更多关键网络资源
辅助黑客完成入侵的中间主机
入侵成功之后,炫耀自己的技术
SEO作弊方法之一,提高网站排名
导出数据库中的关键数据