腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

腾讯云安全专家服务

专栏作者

67

文章

329646

阅读量

105

订阅数

你该搞清楚的体系化安全思维

腾讯云开发者社区官方文档腾讯云认证云镜（主机安全）架构设计

结合自己许多安全实战项目和曾经CISP讲师经历，从CISP的体系框架出发。总结下，搞懂安全应该具备的体系化安全思维和知识背景

枪哥四海为家

2022-03-24

2.1K0

集群弱口令&通用口令速查表

官方文档腾讯云开发者社区腾讯云认证云镜（主机安全）欺骗防御与威胁感知系统

前言多年实战弱口令&通用口令收集，推荐定期巡检自己服务集群弱口令，安全防患于未然。：） image.png 安全设备深信服 sangfor 深信服通用 sangfor sangfor sangfor@2018 sangfor@2019 深信服科技 AD sangfor dlanrecover 深信服负载均衡 AD 3.6 admin admin

枪哥四海为家

2022-03-17

5.7K1

带外攻击OOB（RCE无回显骚思路总结）

官方文档腾讯云开发者社区腾讯云认证云镜（主机安全）网站渗透测试

向服务器提交一个 payload，而服务器响应给我们相关的 response 信息。大家都叫它带内攻击，这些理论的东西，我们简单理解就好，这里我们就理解成单挑通信的通道为带内攻击，也就是整个测试过程或者说是交互过程，中间没有其外部的服务器参与，只有自己和目标服务器，那么就叫带内。

枪哥四海为家

2022-03-14

4.5K0

Shiro550-get型漏洞（验证+利用+反弹shell)

官方文档腾讯云开发者社区腾讯云认证黑盒测试云镜（主机安全）

一般shiro550的get型隐患点不固定，如非登录口，伪静态页面可能都存在。简单经验归纳为靠近登录口的页面点和目标主站页面有可能存在

枪哥四海为家

2022-03-11

9780

Shiro550-post型漏洞（验证+利用+反弹shell）

官方文档腾讯云开发者社区腾讯云认证云镜（主机安全）安全漏洞

当年比赛许多同学通过550拿下过各地核心目标和难打目标，自己参与其中无论从攻击还是防御溯源都受益匪浅

枪哥四海为家

2022-03-10

1.8K0

关注专栏作者，随时接收最新技术干货

腾讯科技（深圳）有限公司技术咨询

腾讯科技有限公司安全专家

枪哥四海为家

前腾讯安全专家安全专家

腾讯技术咨询工程师

Nmap多年积累实操经验分享

云镜（主机安全）腾讯云开发者社区官方文档腾讯云认证漏洞扫描服务

下载.jpg 全量端口基础方案简单梳理 21 FTP弱密码 22 SSH弱密码 23 telnet弱密码 25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 69 尝试下载目标及其的各类重要配置文件 80 IIS6 RCE 80-89 应用服务器端口 110 POP3 可尝试爆破,嗅探 111 NFS 权限配置不当 137 SMB 143 IMAP 爆破 1

枪哥四海为家

2022-03-09

5.5K4

PTH攻击（hash传递）

腾讯云开发者社区腾讯云认证官方文档安全漏洞云镜（主机安全）

即Pass-The-Hash，首先我们来说下为什么要使用HASH传递，一是再目标机>=win server 2012时，lsass.exe进程中是抓不到明文密码的，二是随着信息安全意识的提高，弱口令情况逐渐降低，我们经常会遇到拿到hash却解不开的情况，综上，只有hash，我们依然可以正常登录。

枪哥四海为家

2022-03-09

1.2K0

SSL/TLS中间人arp劫持

安全漏洞云镜（主机安全）官方文档腾讯云开发者社区腾讯云认证

（1）下面是利用ARP毒化，重定向受害者的流量传送给攻击者。（将攻击者插入目标与网关之间）

枪哥四海为家

2022-03-08

1.4K0

谷歌XSS闯关游戏第1~6关答案

云镜（主机安全）安全漏洞官方文档腾讯云开发者社区腾讯云认证

备注：当此操作可以执行，弹出信息框，说明我们可以通过这种方式获取网页的cookie值了，只要将payload中的xss换成document.cookie就可以了：<script>alert(document.cookie)</script>

枪哥四海为家

2022-03-08

1.1K0

Docker逃逸原理

云镜（主机安全）黑盒测试官方文档腾讯云开发者社区腾讯云认证

Docker是当今使用范围最广的开源容器技术之一，具有高效易用的优点。然而如果使用Docker时采取不当安全策略，则可能导致系统面临安全威胁。

枪哥四海为家

2022-03-07

2.6K1

CVE-2021-44731 linux snap 本地提权漏洞分析

云镜（主机安全）云主机安全官方文档腾讯云开发者社区白盒测试

Snap是Canonical为使用Linux内核的操作系统开发的软件打包和部署系统。这些包（称为 snaps）和使用它们的工具 snapd 可在一系列 Linux 发行版中工作。

枪哥四海为家

2022-03-05

3K0

忽视的12分钟，破防！

云镜（主机安全）云主机安全欺骗防御与威胁感知系统官方文档腾讯云开发者社区

现象：某大客户集群部分服务器出站流量飙高，集群cpu整体水平在持续上涨，客户业务出现崩溃。

枪哥四海为家

2021-09-18

1.1K2

云主机安全容灾建设

云服务器云镜（主机安全）数据安全官方文档腾讯云开发者社区

Integrity（完整性）：指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。

枪哥四海为家

2021-06-30

2.5K0

暴破攻击IP模糊定位工具-Brutehunter（原创-适用linux）

云镜（主机安全）腾讯云开发者社区官方文档检测工具

蛮力攻击（英语：Brute-force attack），又称为穷举攻击（英语：Exhaustive attack）或暴力破解，是一种密码分析的方法，即将密码进行逐个推算直到找出真正的密码为止。例如：一个已知是四位数并且全部由阿拉伯数字组成的密码，其可能共有10000种组合，因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外，利用这种方法可以破解任何一种密码，问题只在于如何缩短试误时间。有些人运用计算机来增加效率，有些人透过字典攻击来缩小密码组合的范围。

枪哥四海为家

2021-05-12

2.2K0

入侵溯源难点和云溯源体系建设

云服务器官方文档腾讯云开发者社区自动化云镜（主机安全）

服务器被攻击的时候，寻找到确切的攻击原因，还原真实攻击路径是一件非常耗时和烧脑的事情。

枪哥四海为家

2021-03-16

3.7K1

linux日志结构知识点

云服务器日志服务官方文档腾讯云开发者社区 linux

=> /var/log/daemon.log：运行squid，ntpd等其他日志消息到这个文件

枪哥四海为家

2021-03-12

1.1K0

linux 溯源命令集合-主机层（持续更新）

云镜（主机安全）日志数据官方文档腾讯云开发者社区 shell

记录一些在攻击溯源中常用到的溯源命令，持续更新： linux主机层溯源常用命令： scp远程上传： scp my_local_file.zip root@192.168.1.104:/usr/local/nginx/html/webs scp远程下载： scp root@192.168.1.104:/usr/local/nginx/html/webs/about.zip . 查看root用户历史操作命令： history 查看当前用户与他运行的进程信息 w 查看当前登录的用户，默认输出用户名，终端类

枪哥四海为家

2021-01-25

2.7K0

实战矿马：如何清除木马文件(/usr/games/power-on)

云主机安全云服务器腾讯云开发者社区官方文档

本身这个案例很简单，主要分享使用chattr工具的安装方法和简单文件特殊权限清除命令，方便快速处理。

枪哥四海为家

2020-12-02

1.7K0

实战矿马：消灭“薅羊毛”门罗币矿马(config.sh；zhihuatnail.so；sshd2)

云主机安全安全漏洞腾讯云开发者社区腾讯云认证官方文档

我又来消灭挖矿木马了，这次消灭的挖矿文件为config.json；zhihuatnail.so；sshd2这三个矿马。

枪哥四海为家

2020-11-09

2K0

业务安全(1)-天御内容安全

业务风险情报金融风控官方产品腾讯云开发者社区官方文档

此系列将写一个系列给大家介绍腾讯云上的业务安全产品，希望加深大家对于腾讯业务安全产品的了解和熟悉，使用。

2020-11-03

4.6K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态