黑客技术归档 - 第84页共178页

操作系统命令注入教程及一些简单的绕过waf技巧一

操作系统命令注入教程及一些简单的绕过waf技巧一,OS 命令注入（也称为 shell 注入）是一种 Web 安全漏洞，允许攻击者在运行应用程序的服务器上执行任意操作系统 (OS) 命令，攻击者可以利用操作系统命令注入漏洞来破坏托管基础架构的其他部分

spiderfoot自动化开源网络情报搜集工具(OSINT),SpiderFoot是一种侦察工具，可自动查询100多个公共数据源(OSINT),以收集有关IP地址,域名,电子邮件,DNS、Whois、网页,垃圾邮件黑名单、文件元数据、威胁情报列表,公司,tor等信息

Kaminsky利用DNS缓存中毒漏洞和忘记密码接管用户账户,假设攻击者可以将任意 DNS 记录注入 Web 应用程序使用的 DNS 解析器的缓存中（DNS 缓存中毒），然后他就能够操纵电子邮件域到 IP 地址的映射。因此DNS名称解析将会指向攻击者电子邮件服务器的IP地址

利用git/svn源码泄露漏洞反制黑客|通杀源码泄露漏洞利用程序,通过创建恶意的git目录可以在攻击者的磁盘中写入任意文件,实现远程代码执行,对于类unix系统可以写入crontab，增加定时任务，反弹shell回来,对于Windows系统可以写入开始菜单启动项，或者dll劫持

Cert Safari-利用TLS证书捕获恶意软件及黑客恶意基础设施,利用TLS证书来弥补WHOIS修订留下的调查真空,22个域中的20个具有重叠的证书特征：它们之前注册了来自证书颁发机构“ZeroSSL”的90天证书，而13个拥有来自证书颁发机构Sectigo的当前12个月证书