今天上午没出去,重新折腾了一下,把另外的一个域名h4ck.ws绑定到了blog上。绑定多个域名的方法网上介绍的也比较多,这里我使用的是最简单的PS WP Multi Domain插件,直接从插件页面搜索安装插件即可。现在可以同时使用h4ck.org.cn和h4ck.ws来访问本博客了。同时修改了一下Google Friend Connect小插件,让这个东西在两个域名下可以同时访问。说白了方法挺简单的,就是另外创建了一个独立的页面,挂载到原来的域名下,在网页中嵌入GFC的地方直接使用iframe页面嵌入即可。但是由于这个GFC动态创建的,没有固定大小,现在使用的是固定大小的方法,显示效果并不是很好。如果谁有更好的办法还望不吝赐教。
这是我在 BCS2019上演讲的议题的文字版,由于议题的时间限制后面内容基本都没有展开,所以再形成一个文字版本把一些想法再记录一遍,也是公开出来供业内同仁进行批判和探讨。
DNS隧道(DNS Tunneling)也是隐蔽隧道的一种方式,通过将其他协议封装在DNS协议中传输建立通信。大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS隧道提供了条件,可以利用它实现诸如远程控制、文件传输的操作。使用dns搭建隧道的工具也有很多,比如dnscat2、DNS2tcp、iodine等。由于iodine工具使用比较稳定,这里使用iodine进行演示,它可以通过一台dns服务器制作一个Ipv4通道,iodine分为客户端和服务端,Iodine不仅有强制密码措施,还支持多种DNS记录类型,而且支持16个并发连接,因此很多时候Iodine是DNS隧道的第一选择。
PTT(Pass the Ticket,票据传递)攻击是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。这种攻击手段可以用Kerberos票据进行内网横向渗透,不需要管理员权限,它最常见的用途可能是使用黄金票据和白银票据,通过票据传递访问主机,其利用方法十分简单。例如,通过这种手段,攻击者可以从Linux系统中窃取Kerberos凭据,然后在身份验证时将其传递到Windows机器上,达到横向渗透的结果。
从杜郎这里看到了免费的gay域名。说实话,这个域名后缀真的蛮有意思的,当然如果全部放开的话可以申请一些比较有意思的域名,比如,is、isnot、iam、ur之类的。我的性观念是全包容的哈,不存在性别歧视,恋爱歧视。
1、在模型类中设置字段为富文本类型,这里需要注意引入的是RichTextUploadingField,以允许上传图片,需要和RichTextField区分开
这才想起来可能是没有添加www的CNAME记录,于是登录后台重新添加了带www前缀的CNAME域名,然後一切问题就都解决了。
(一)方法 方法 简单说明 add_cookie(cookie_dict) 在当前会话中添加cookie信息 cookie_dict:字典,name和value是必须的 delete_all_cookies() 在当前会话中删除所有cookie信息 delete_cookie(name) 删除单个名为name的cookie信息 get_cookie(name) 返回单个名为name的cookie信息,如果没有找
接引前文,当然应该是好几篇文章之前的前文,我注册了一个中文域名 媱媱.我爱你 ,给我们家的小盆宇做了个发布绘画作品的网站。网站的搭好了,域名解析也配好了。后面在家人群里分享的时候发现恶心的地方了。各种不识别,如果直接发中文域名是这样的:
DNS DomainNameSystem域名系统,根据域名查出IP地址 1.dig命令可以显示整个查询的过程 root@VM-38-204-ubuntu:~# dig www.sopans.com //这一段是查询参数和统计 ; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.sopans.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 189
若API形式为: /api/v3/login,那么可尝试 /api/v2/login, /api/v1/login等。
这文章来的真是容易,整个网站除了显示作者的地方显示了一个域名,其余没有任何显示,这扒的,内裤都给扒光了(现在只剩裤袜了,无所谓了,反正我也不喜欢穿内裤)。
一直就发现首页加载的速度非常蛋疼,直接蛋疼的都要碎了。今天仔细的研究了一下,发现出错的地方都是由于Google服务被屏蔽导致的,感谢CCAV。其实一个出错的是Google的自定有搜索框,第二个是Google的开放字体服务;对于第一个确实没什么好的办法,只能暂时去掉了,如果要搜索指定站点的内容可以使用site修饰符例如在Google搜索框中输入site:www.h4ck.org.cn 关键词 然后搜索即可。至于第二个问题,解决的办法比较简单,出错的是wp-includes/script-loader.php,第602行的内容:
WordPress支持设置url固定连接的格式,多年以前按照网上的seo的策略和指导都是建议设置为名称形,例如下面这种:
移动场景下DNS解析开销是整个网络请求中不可忽略的一部分。在弱网环境下,基于UDP的LocalDNS解析非常容易出现解析超时的问题,并且即使解析成功会消耗数百毫秒乃至更甚,对我们整个业务请求而言是非常不利的,它直接影响了客户的体验。
PTH(Pass The Hash,哈希传递)攻击是一种很典型的内网渗透攻击方式。它是通过寻找账号相关的密码散列值(通常是NTLM哈希值)进行NTLM认证,在Windows中应用程序需要用户提供明文密码,最后调用LsalogonUser之类的API将密码进行转换,转换后在NTLM身份认证时将哈希值发送给远程服务器,而这个网络认证之间的过程其实并不需要明文密码。也就是说,利用这个机制,攻击者可以不提供明文密码,而是通过NTLM哈希或者LM哈希进行远程访问。
小宝跟着小熊美术学习画画也有段时间了,我个人并不懂艺术。只是有的画看起来还是挺有质感的,前段时间在浏览十年之约论坛的时候看到竟然有我爱你的域名后缀,于是就注册了个媱媱.我爱你。现在用的这个blog使用的数据量蛮大了,并且由于升级程序版本之后现在感觉性能也是个问题,于是升级了系统配置,扩大了系统盘空间。域名备案在经历了十几天之后终于过了,于是开始折腾这个新的blog。
准备工作 1.云服务器 2.备案的域名 3.本地调试需要修改hosts文件,将域名映射到127.0.0.1 一、申请QQ互联,并成为开发者 QQ互联:https://connect.qq.com/in
xnLinkFinder是一款基于Python 3开发的网络节点发现工具,在该工具的帮助下,广大研究人员只需要提供一个目标网络地址,xnLinkFinder就能够发现其中的网络节点。
今天上午建了一个gravatar镜像服务,下午看了一下oss里面的文件,乱七八糟什么东西都有。dujun说的很对,一旦公开服务了可能会发生各种事情。
Syborg是一款DNS子域名递归枚举工具,它的扫描模式既非主动,也非完全被动的。该工具可以直接构造一个域名,然后通过指定的DNS服务器查询该域名。
Github图片无法显示,包括头像,代码中的图片都没有办法正常显示。根本的问题应该是github返回了一个在国内无法访问的ip地址,151.101.228.133。国内ping效果:
作为一门以 WEB 开发为主战场的编程语言来说,PHP 即使是在目前这个大环境下,依然也是 WEB 领域的头号玩家。我们在网络相关的功能中也提供了许多方便好用的函数组件,而且它们都是不需要安装扩展就能够使用的。今天,我们就来学习了解一下。
微软的一位高层管理人员在近日举办的ASPEN安全论坛上公开表示,他们发现俄罗斯黑客正在尝试对至少三名即将参与美国2018年国会中期选举的候选人进行攻击,但微软成功发现并帮助美国政府阻止了俄罗斯黑客的攻击行动。
Turbolist3r是子域名发现工具sublist3r的一个分支,除了sublist3r原始的资源情报收集功能之外,Turbolist3r还集成了一些针对子域名发现的自动化分析功能。
下面介绍一下整个流程,详细的我也不清楚 【所需材料】 网站空间、域名、建站源码、采集插件、解析插件 可以采用海洋CMS、苹果CMS或者我以前介绍的两个CMS https://www.hishare.site/650.html 【第一步 搭建网站】 把源码上传到网站空间,设置好域名解析,完成网站的搭建 【第二步 采集数据】 一般网站程序自带采集插件,也可以去淘宝购买采集插件。采集的意思就是把各大视频网站的视频数据抓取到你的网站,电影介绍,海报啊,分类啊,评分啊之类信息。 【第三步 设置视频解析】 数据采集完成
百度二级域名批量提交工具主要的功用就是将多个域名添加到百度工具,让用户在分析域名的时分得到更快的添加方式,您可以经过这款软件立即提交几百个域名,从而立即在百度工具优化你的域名,也可以在软件添加新的域名,关于需求管理站点以及需求优化站点的朋友很适宜,这款软件操作方式界面,软件界面曾经提供官方的运用说明,你只需求阅读界面的文字内容就可以知道如何运用这颗软件,需求留意的是这款软件必需别离百度工具运用,用户需求登录百度工具才干在软件界面获取百度站长工具账号cook
今天给大家介绍的是一款能够帮助渗透测试人员实时执行DNS重绑定(Rebinding)测试的DNS服务器。
ATT&CK作为一套反映网络安全攻击的知识模型,自2013年提出以来越来越受到安全行业的关注,已逐渐成为网络攻击事件分析的新标准,在众多APT事件分析中得到广泛应用。
本文介绍了一种从攻防两个维度研究分析网络安全对抗技术的方法。该方法基于Sysmon日志、ATT&CK标签日志、操作系统日志的分析实践,通过几种典型攻防对抗技术示例,着重介绍和分析攻击在主机层面特征,为蓝队人员“看得见”“看得清”网络威胁,提供了一种简单易学的技术修炼方法。也借此抛砖引玉,希望在安全规则优化或威胁狩猎的专家能有更多此方面技术分享。 “左右互搏术” 这里的“左右互搏术”,喻意为安全人员一边模拟红队或入侵者或企业内恶意人员的攻击,一边作为防守方从网络、主机等多层面检测和分析攻击,有助于安全人员
今天给大家介绍的是一款名叫ISeeYou的强大社工工具,该工具基于Bash和JavaScript开发,可帮助研究人员在进行社工技术测试或网络钓鱼培训过程中快速定位目标用户的确切地理位置。在拿到目标用户的地理位置坐标之后,研究人员就可以对目标用户展开基础的网络侦察活动,并执行进一步的测试。
MITRE ATT&CK 框架是打造检测与响应项目的流行框架。这玩意有没有用不确定,但是你绝对承担不起不会用的风险。
这里要特别说明一下localStorage的使用也是遵循同源策略的,所以不同的网站直接是不能共用相同的localStorage
近期,Snapchat曾发生过一次源代码泄漏事件,在此次事件中攻击者从Snapchat网站上下载了完整的网站源码,并将其上传到了GitHub上。在过去的几年里,很多网站都存在错误配置的问题,而且这些安全问题都会被攻击者所利用。除此之外,由于Web开发的门槛相对来说比较低,所以很多经验不够丰富的开发人员很可能在Web开发的过程中泄漏一些机密数据,比如说Git代码库的密钥组件,这个密钥一旦泄露,也就意味着任何人都可以直接访问代码库中的敏感源代码、访问密钥以及密码等等。
其实和blog相关的应用还是蛮多的,比如wp官方的app,有android和ios版本的,上面左边是android的,右边是ios的。其实很多应用对于不同的平台显示的效果确实存在不小的差异,比如那个淘宝的客户端。在安卓系统上有个聚划算,还有什么乱七八糟的东西,但是在ios上却什么都没有,由此看见用iphone的都是有钱人,上面都是什么奢侈品之类的。
0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙, 是对web业务进行防护的一种安全防护手段。 其实,现在很多的移动app,也是使用的http协议进行数据交换,也可以理解成web业务,可以对app server进行防护。 主要的web危害,一般指的是OWASP Top 10,比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法,比如社工。轻则用你的服务器打个ddos,重则数据全部被盗,损失公司的信誉和money。 互联
2012年以来,安天针对南亚次大陆方向的网络攻击进行了持续的跟踪与分析,追踪其攻击行动、溯源其幕后团伙,多年以来持续曝光相关攻击活动,震慑印方攻击组织。安天于2016年7月发布报告“白象的舞步——来自南亚次大陆的网络攻击”[1];2017年12月发布报告“潜伏的象群—来自印方的系列网络攻击组织和行动”[2];2019年5月发布报告“响尾蛇(SideWinder)APT组织针对南亚国家的定向攻击事件”[3];2020年1月发布报告“折纸行动:针对南亚多国军政机构的网络攻击”[4]。
开篇当然还是最喜欢的小姐姐啊。其实ups的安装还是非常简单的,不过后面的插孔都是3插,机柜上就安装了一排机柜插座,导致出现一个问题就是机柜内很多双口插头没地方插,本来想把边上的插排撤掉的,但是明显不行啊,两个光纤转换器插头+路由器+交换机的插头都没地方插,于是就把插排又给按上了。安装之后的效果就是下面这个样子啦。
1).UE向MME发起附着请求Attach Request。Attach Request消息中与VoLTE相关的关键信元
自己有无数的追求,也有无数的想法,但是受限于各种条件。于是很多的东西就只能是想想而已,梦寐以求。但是却无法得到,说的不仅仅是物品,包括人生的信念高度,以及自己追求的各种能力。
DNS 解析是一种按照层级的树形结构,从左到右,DNS trace 记录来看 DNS 解析过程,以shikanon.com域名为例。
在重写 Ansible 监控平台时, 需要前后端分离, 并且需要使用公司的账户系统。 而前后端认证我一直采取的 JWT 认证规范,具体为什么这么选择, 这里不多讲。而符合DRF 的JWT 框架, 默认使用的是 Django 自带的账户系统做的。 所以再 OAuth2 和 JWT 结合需要做点工作。
FProbe是一款HTTP/HTTPS服务器快速探测工具,广大研究人员只需要给FProbe提供一个域名或子域名列表,它就可以帮助我们探测目标域名后台运行的是HTTP服务器还是HTTPS服务器了。
本文介绍cookie知识,session知识,双方的区别,以及如何使用cookie和session实现一次会话的知识。
源码 https://github.com/django-ckeditor/django-ckeditor
通过浏览器输入域名访问网页的实质是通过DNS(域名解析系统)访问该网站的IP地址。
今天给大家介绍的是一款针对开源情报收集任务的浏览器扩展,这款扩展名叫Mitaka,希望该工具可以给广大研究人员的OSINT搜索研究提供帮助。
今天给大家介绍的是一款名叫ezXSS的漏洞测试工具,该工具可以轻松地帮助渗透测试人员完成Blind XSS漏洞的扫描任务。
领取专属 10元无门槛券
手把手带您无忧上云