wolke

一、杂谈有的时候遇到心仪的女/男孩子发照片，或者是hxd发的好东西，或者是一些涉及信息泄露的照片，大多数都是以闪照的形式接收。但如果想反复查看几次，应该怎么办呢？ 下面教大家手工的方式实现无限次观看闪照，分为视频教程和图文演示 二、视频教程(function(){var player = new DPlayer({"container":document.getElementById("dplayer1"),"theme":"#da4e7f","screenshot":true,"video":{"url":"/video/2022042201.mp4","pic":"https://w01ke-1305929791.cos.ap-shanghai.myqcloud.com/img/1650599015839-05a1e65d-5801-400f-8688-93b08967ffb1.jpeg"}});window.dplayers||(window.dplayers=[]);window.dplayers.push(player);})() 三、图文演示我们正常收到闪照查看5秒完毕后 ...

前言最近和师傅们参与了一些众测项目，发现师傅们提交了很多关于HTTP.sys远程代码执行的漏洞，于是在网上搜集了些资料进行学习 一、漏洞概述1、HTTP.sys简介HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序，为了优化IIS服务器性能，从IIS6.0引入，IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞 我们通过给IIS服务器发送这样格式的HTTP请求，就可以触发（检测）这个漏洞： GET / HTTP/1.1Host: stuffRange: bytes=0-18446744073709551615 若IIS服务器返回“Requested Range Not Satisfiable”，则是存在漏洞，否则如果返回“The request has an invalid header name”，则说明漏洞已经修补。 2、漏洞成因远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当HTTP.sys未正确分析经特殊设计的 HTTP 请求时会导致此漏洞 3、漏洞危害攻击者只需要发 ...

一、漏洞简介Drupal是一个开源内容管理系统（CMS），全球超过100万个网站（包括政府，电子零售，企业组织，金融机构等）使用。Drupal安全团队披露了一个非常关键的漏洞，编号CVE-2018-7600 Drupal对表单请求内容未做严格过滤，因此，这使得攻击者可能将恶意注入表单内容，此漏洞允许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。 二、漏洞原理该漏洞的产生的根本原因在于Drupal对表单的渲染上。 Drupal为了在表单渲染过程中能够动态修改数据，从6.x版本开始便引入了“Drupal Form API”的概念。 相关文档如下：https://api.drupal.org/api/drupal/elements/8.6.x 这些“可渲染的数组(Renderable arrays)”就是引发此次漏洞的”元凶”，它由一个key-value结构存储，其中key都以#(hash sign)开头，如下所示 [ ‘#type’ => ‘markup’, ‘#markup’ => ‘<em>some text</em>’ ...

一、Windows事件日志简介Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。 系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。 安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。 1、系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx 2、应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有 ...

一、前言经常会有一些小伙伴问：中了勒索病毒，该怎么办，可以解密吗？ 第一次遇到勒索病毒是在早几年的时候，客户因网站访问异常，进而远程协助进行排查。登录服务器，在站点目录下发现所有的脚本文件及附件后缀名被篡改，每个文件夹下都有一个文件打开后显示勒索提示信息，这便是勒索病毒的特征。 出于职业习惯，我打包了部分加密文件样本和勒索病毒提示信息用于留档，就在今天，我又重新上传了样本，至今依然无法解密。 作为一个安全工程师，而非一个专业的病毒分析师，我们可以借助各大安全公司的能力，寻找勒索病毒的解密工具。 本文整理了一份勒索病毒自救指南，通过勒索病毒索引引擎查找勒索病毒相关信息，再通过各个安全公司提供的免费勒索软件解密工具解密。当然，能否解密全凭运气，so，平时还是勤打补丁多备份。 二、勒索病毒搜索引擎在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名，或直接上传被加密文件、勒索提示信息，即可可快速查找 到病毒详情和解密工具。 这些网站的解密能力还在持续更新中，是值得收藏的几个勒索病毒工具型网站。 【360】 勒索病毒搜索引擎，支持检索超过800种常见勒索病毒 官网：http: ...

一、前言如何在百万行代码里发现隐藏的后门？ 试想一下，如果你的网站被入侵，攻击者留下隐藏的后门，你真的都可以找出来吗？面对一个大中型的应用系统，数以百万级的代码行，是不可能做到每个文件每段代码进行手工检查的。 即使是一款拥有 99.9% 的 Webshell 检出率的检测引擎，依然可能存在 Webshell 绕过的情况。另外，像暗链、网页劫持、页面跳转等常见的黑帽 SEO 手法，也很难通过手动检测或工具检测全部识别出来。 最好的方式就是做文件完整性验证。通过与原始代码对比，可以快速发现文件是否被篡改以及被篡改的位置。当然，第一个前提是，你所在的团队已具备代码版本管理的能力，如果你是个人站长，相信你已经备份了原始代码。 本文将结合实际应用，介绍几种文件完整性验证方式，可以帮助你找出代码中所有隐藏的后门。 二、方法1、文件 MD5 校验下载D盾_Web查杀工具的时候，我们可以留意到下载的压缩包里，除了有一个 exe 可执行文件，还有一个文件 md5 值。这个是软件作者在发布软件时，通过 md5 算法计算出该 exe 文件的”特征值”。 下载地址：http://www.d99net.net/ ...

一、前言当网站服务器被入侵时，我们需要一款Webshell检测工具，来帮助我们发现webshell，进一步排查系统可能存在的安全漏洞。 本文推荐了10款 WebShell 检测工具，用于网站入侵排查。当然，目前市场上的很多主机安全产品也都提供这种 WebShell 检测能力，比如阿里云、青藤云、safedog 等，本文暂不讨论。 二、常见Webshell查杀工具1、D盾_Web查杀阿D出品，使用自行研发不分扩展名的代码分析引擎，能分析更为隐藏的 WebShell 后门行为。 兼容性：只提供 Windows 版本。 工具下载地址：http://www.d99net.net 2、百度 WEBDIR+下一代 WebShell 检测引擎，采用先进的动态监测技术，结合多种引擎零规则查杀。 兼容性：提供在线查杀木马，免费开放 API 支持批量检测。 在线查杀地址：https://scanner.baidu.com 3、河马专注 WebShell 查杀研究，拥有海量 WebShell 样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。 兼容性：支持 Win ...

一、前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。 针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。 二、入侵排查思路1、账号安全（1）基本使用① 用户信息文件[[email protected] ~]# cat /etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的 shell注意：无密码只允许本机登陆，远程不允许登陆 ② 影子文件[[email protected] ~]# cat /etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt ...

一、前言1、什么是应急响应“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。（百度） 2、常见攻击类型（1）WEB入侵：挂马，网页篡改，植入webshell，黑页，暗链等 （2）主机入侵：病毒木马，勒索病毒，远控后门，系统异常，RDP爆破，SSH爆破，主机漏洞，数据库入侵等 （3）网络攻击：DDOS/CC攻击，ARP攻击，DNS/HTTP劫持 （4）路由器/交换机攻击：内网病毒，配置错误，机器本身的漏洞等 二、Windows入侵排查思路1、检查系统账号安全（1）查看服务器是否有弱口令，远程管理端口是否对公网开放   据实际情况咨询相关服务器管理员。 （2）查看服务器是否存在可疑账号、新增账号。 黑客获得shell后，通常会新建一个用户用来登陆远程桌面。我们可以在命令行中输入net user查看当前计算机等等用户有无增加 在运行中输入mmc打开控制台，选择文件->添加/删除管理单元->本地用户和组。（也可以在c ...

一、原始的ASCII编码以下是原始的ASCII编码对应关系图表 可以来一个小实验：打开记事本，编辑AB，另存为格式为ANSI的ASCII.txt文件 使用UE查看十六进制，就会发现的确是AB对应的十六进制数41 42，其中左侧的00000000h是这两个字符的相对偏移 二、ASCII的拓展：GB2312或GB2312-801个字节，最多也就能表示[0，255]总共256个字符，而像汉字，日文，韩文等等，这些在ASCII码表中都没有表示方法所以就必须要创建新的编码 于是GB2312和GB2312-80诞生了，思路就是：既然ASCII码的扩展表字符不常用，那就针对扩展的ASCII码，把两个扩展的ASCII码字节拼在一起，变成一个新的汉字。比如C4 E3就是你，BA C3就是好 但是这种编码方式有个很严重的问题，每个国家都有每个国家的编码，比如发送一篇编码方式为GB2312，内容为你好，的邮件给新加坡，而新加坡用的是big5编码，也是用两个拓展ASCII的字节拼成一个新的字，但它用big5拼出来肯定不是你好二字，是乱码！ 三、Unicode编码1、什么是Unicode？这是一个编码 ...