0x00题目来源:ctfshow-网络谜踪(社工类)题目描述:flag格式为ctfshow{纬度(精确到小数点后四位,不用进位),经度(精确到小数点后四位,不用进位)}例如若找到的经纬度为(11.45149,19.19810)则flag为ctfshow{11.4514,19.1981}(附件地址:https://ctfshow.lanzoui.com/iRHlmtek0ra)0x01拿到题目就知道是一道典型的社工题,要求找出这个图片的位置常规的下载附件,解压拿到图片首先扔到Google和百度识图中去看看有什么结果显然得不到什么结果这个也是感觉是某个小镇的街景图,图片的右下角是这样的明显是Goo
第52天WEB攻防-通用漏洞&弱口令安全&社工字典生成&服务协议&web应用知识点:1、弱口令安全&配置&初始化等2、弱口令对象&Web&服务&应用等3、弱口令字典&查询&列表&列表等#前置知识:弱口令(weakpassword)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令,通常与管理的安全意识和平台的初始化配置等相关,通过系统弱口令,可被黑客直接获得系统控制权限。在常见的安全侧试中,弱口令会产生安全的各个领域,包括Wb应用,安全设备,平台组件,操作系统等;如何获取弱口令,利用弱口令成为了此类安全问题的关键!演示案例:Web类-加密&验
将互联网泄露的信息汇聚成数据库,简单说:黑客数据库。中国执行信息公开网http://zxgk.court.gov.cn/?dt_dapp=1全国标准信息公共服务平台http://std.samr.gov.cn/ 征信中心https://ipcrs.pbccrc.org.cn/ 中国裁判文书网https://wenshu.court.gov.cn/商务部业务系统统一平台http://www.mofcom.gov.cn/mofcom/typt.shtml 全国企业信用信息公示系统http://www.gsxt.gov.cn/index.html 莆田系黑医院https://putianxi.git
身份服务提供商Okta上周五(9月1日)警告称,有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。该公司表示:最近几周,多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员,然后要求重置高权限用户注册的所有多因素身份验证(MFA)因子,从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示,这些活动发生在2023年7月29日至8月19日之间。虽然Okta没有透露威胁参与者的身份,但其使用的攻击战术符合名为“MuddledLibra”的活动集群的所有特征,据说它与“ScatteredSpider”和“Scatter
谷歌机器人http://t.me/GoogleSGKbot?start=7nmw46bwmHELLAworldhttp://t.me/sgk2023_03_30bot?start=SGK_3D9L1FNO暗精灵https://t.me/AJL01_bot?start=gIrCypiC8Z狗狗机器人https://t.me/DogeSGK_bot?start=6295124409落日机器人https://t.me/LuoRiSGKbot?start=66O4nbA4wp花花机器人https://t.me/sgkvipbot?start=vip_
bp启动靶机 开局一个登录框,账号已经写好了,先尝试万能密码admin'or1=1#万能密码进不去,题干中提示intruder,top100FUZZ一下:点击登录,burp抓包,添加密码爆破点 导入top1000开始爆破 爆破完成,点击length排序,发现都是908,一开始怀疑我的字典是不是有问题,回去看了一下题干用top1000确实没问题,估计这个题目设计的是登陆成功和登录失败返回包长度相同查看某一个爆破包的返回包 可以发现他们返回包中使用js,r值来判断是否登录成功,错误时r值为bugku10000,那我们可以加一条规则判断找到option中的Grep-Match选项,添加一条规则:{c
社会工作是社会建设的重要组成部分,是一种体现社会主义核心价值理念,坚持“助人自助”宗旨,遵循专业伦理规范,在社会服务与管理等领域,综合运用专业知识、技能和方法,帮助有需要的个人、家庭、群体、组织和社区,整合社会资源,协调社会关系,预防和解决社会问题,恢复和发展社会功能,促进社会和谐的职业活动。《1万3千多社工精选题库ACCESS数据库》是一份为社会工作者职业打造的职业资格知识题库。单选题有10707条,多选题有3187条;初级(初级实务有2647条,初级综合有1738条);中级(法规政策有4629条,中级实务有358条,中级综合有4522条);有1千多条记录没有解析。该数据提供ACCESS数据
作者名:白昼安全主页面链接:主页传送门创作初心:以后赚大钱座右铭:不要让时代的悲哀成为你的悲哀专研方向:web安全,后渗透技术每日鸡汤:努力赚钱不是因为爱钱“水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。一、靶机环境配置这里的演示当然不能拿真实的站点,所以我在Github上下载了一个web文件,并在本地搭建,模拟成目标经常访问的网站,想试试的同学们也可以跟我一起操作Github链接如下,注意这是一个有2k
概述ChatGPT是一种基于神经网络的自然语言处理模型,可以生成自然流畅的文本或对话。在钓鱼攻击中,攻击者可以使用ChatGPT生成虚假电子邮件或消息,更好地伪装成受害者所信任的个人或组织,从而获取受害者的个人信息。这种行为对个人和组织的信息安全构成威胁。因此防止ChatGPT被滥用以进行网络钓鱼攻击是非常重要的。在反钓鱼方面,需要ChatGPT有对应文本检测能力,可以用于监控电子邮件和消息,以检测语言模式的异常,并警示用户注意避免钓鱼攻击,并提示用户不要输入任何敏感信息。如果使用ChatGPT文本生成检测的专用工具可以大大提高钓鱼攻击的识别率和准确性,更好地保护用户的信息和隐私。尽管Chat
好久没写文章了,一是很忙,二是自己太懒了。其实这篇文章我很早之前就想写了,但是一直懒得写。今天终于下定决心写了。(下一篇文章什么时候我也不确定,看心情吧!哈哈哈。)言归正传,今天我们学习的是一些基本的社工知识。在开始之前提醒一点:该文章只是为了技术交流。好,现在我们开始了。老规矩,我们还是举例子。如果,我们现在有一个人的QQ号,我们应该如何进行社工?或者说我们通过QQ最想得到的是什么?我估计大家想的是手机号。好了,今天的第一个知识点来了———如何通过QQ获得手机号。我把获得的方式分为主动和被动两种。被动就不用说了,就是让别人自己给你,你被动接收。现在我们来讲一讲主动。主动又分了两类,一是正向,
