Fiverya的博客

dnstwist是一种钓鱼网站域名识别工具，可帮助用户识别和检测可能被恶意使用的域名。它通过生成类似的域名变体来模拟攻击者可能使用的钓鱼域名，并提供了一系列有用的功能和信息。dnstwist能够生成一组类似的域名变体，包括字符替换、字符插入、字符删除、字符重复等，以此来模拟可能被攻击者注册的钓鱼域名。它还可以通过使用WHOIS和DNS查询等功能来获取域名的详细信息，如注册商、注册日期、IP地址等。

在终端模拟器中运行 sudo apt update && sudo apt full-upgrade 命令来更新其安装Kali Linux 2023.3 发布中包含了九个新工具，分别是：Calico：云原生网络和网络安全。cri-tools：用于Kubelet容器运行时接口的命令行界面和验证工具。Hubble：使用eBPF实现的Kubernetes的网络、服务和安全可观察性工具。ImHex：逆向工程师、程序员以及深夜3点仍需保护视力的人的十六进制编辑器。

今天看到一个关于Lyceum组织的文章，这个组织擅长使用dns隧道攻击，这种攻击方式还是头一次听说，于是搜集了一些文章来看看。

Exchange漏洞

常见未授权和敏感文件泄露漏洞

CDN检测

struts2漏洞，从S2-001到 S2-061，嘿嘿。

Apache、Nginx、IIS服务器、Tomcat服务及其漏洞介绍

隐私隧道

IP协议、TCP协议、DNS协议、SMTP协议、IMAP协议、POP协议、HTTP协议、HTTPS协议、SSL协议、TLS协议、ARP协议、NDP协议、ICMP协议、NTLM协议

kali工具学习

fscan 是一个内网综合扫描工具，方便一键自动化、全方位漏洞扫描。

博客，（比如优快云，博客园），微博，团购网站，导航网站（好123），信息分类（58），问答网站（知乎），商城，百科.......通过关键特征，识别出目标的CMS系统，服务器，开发语言，操作系统，CDN，WAF的类别版本等等。7.CDN信息：是否使用CDN，如cloundflare，帝联，蓝讯，网宿，七牛云，阿里云。1.CMS信息：比如Discuz,织梦，帝国CMS，PHPCMS，ECshop等。6.操作系统信息：linux，win2k8，win7，kali，Centos等。

在CTF比赛中, CTF逆向题目除了需要分析程序工作原理, 还要根据分析结果进一步求出FLAG。逆向在解题赛制中单独占一类题型, 同时也是PWN题的前置技能。在攻防赛制中常与PWN题结合。CTF逆向主要涉及到逆向分析和破解技巧，这也要求有较强的反汇编、反编译、加解密的功底。CTF中的逆向题目一般常见考点1、常见算法与数据结构。2、各种排序算法, 树, 图等数据结构。3、识别加密算法与哈希算法代码特征,识别算法中魔改的部分。4、代码混淆, 代码虚拟化, 修改代码流程, 反调

转自公众号 ： Hacking黑白红0x00常用抓包工具特点 常用的抓包工具有fiddler、wireshark、httpwatch、 firebug、F12/等。抓包抓的是协议，fiddler抓的是HTTP、HTTPS协议，wireshark抓的是其他协议。fiddler、wireshark可以修改接口的参数和返回值，常用的F12调试工具只可以查看接口的参数和响应值。 fiddler最适合，在APP测试的时候抓包； wireshare适合对整个流量进行抓取； ...

OWASP Top 10 是“Web应用程序十大安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。0x02 2021年前十名变化今年的榜单有三个新类别，相比2017版四个类别的命名和范围发生了变化，并在 2021 年榜单中进行了一些类别合并。A01:2021-Broken Access Control从第五位上升；94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control

SQL Injection&Blind SQL Injection（SQL注入与SQL盲注漏洞）：一、绕过WAF的方法：1. 大小写绕过2. 简单编码绕过3. 注释绕过：如?id=1 uni/**/on sele/**/ct 1,2,3 #4. 分隔重写绕过：适用于WAF采用正则表达式检测所有的敏感字的情况，可以通过注释分开敏感字，如?id=1 un//ion sel//ect 1,2,3 #；至于重写绕过，适用于WAF过滤了一次的情况，如uniunionon，有时候可能还.