能力值:
( LV13,RANK:327 )
|
-
-
2 楼
学会唐诗三百首,不会作诗也会偷 -》 学会唐诗三百首,不会作诗也会吟。
|
能力值:
( LV12,RANK:290 )
|
-
-
3 楼
楼主好像讲的全都是web类型的漏洞,请问二进制类型的漏洞也是同样的道理吗??
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
楼主现在是在哪个行业高就
|
能力值:
(RANK:500 )
|
-
-
5 楼
这里特指对给定目标的渗透。二进制不是,但大多数情况下二进制挖出来的洞也是为了给渗透服务用的
|
能力值:
( LV12,RANK:290 )
|
-
-
6 楼
humourkyo
这里特指对给定目标的渗透。二进制不是,但大多数情况下二进制挖出来的洞也是为了给渗透服务用的
不是很理解楼主的意思。。。因为刚开始接触;渗透就指web渗透还是指只要是通过漏洞获取shell的过程都叫渗透??
|
能力值:
(RANK:500 )
|
-
-
7 楼
也不仅仅只是web,只能说是指定的目标。包括web app 服务器 等等。例如就包括在没有拿到服务端bin的二进制的挖洞。
|
能力值:
(RANK:500 )
|
-
-
8 楼
pureGavin
不是很理解楼主的意思。。。因为刚开始接触;渗透就指web渗透还是指只要是通过漏洞获取shell的过程都叫渗透??
其实广义上来讲,不论是黑盒还是白盒,也不论是web还是二进制或其他任何软硬件。 我认为挖洞的本质就是:发送payload,根据返回的响应来判断是否存在漏洞。 只不过白盒或者逆向二进制那种,可以清楚的了解目标的流程,要发送的测试payload更具有针对性,更少而精罢了。 打个不恰当的比喻,就好比泡妞。 如何才能泡到妞?也得需要找到她的漏洞。判断她的喜好,她的反应,她的音容笑貌。那怎么得到她的这些信息 ? 不也得需要发送payload吗? 送给她礼物,说甜言蜜语,自己健身整容啥的 分别看她有什么不同的响应 不就能判断了吗? 但如果对方就是一个木头,任你怎样 全都没有任何回应 那就没戏了。 所以挖洞 本质上也是一样的。
|
能力值:
(RANK:350 )
|
-
-
9 楼
好文!要出成绩,除了天赋和经验外,还要看“刻意练习”的程度。
|
能力值:
( LV12,RANK:290 )
|
-
-
10 楼
humourkyo
其实广义上来讲,不论是黑盒还是白盒,也不论是web还是二进制或其他任何软硬件。
我认为挖洞的本质就是:发送payload,根据返回的响应来判断是否存在漏洞。
只不过白盒或者逆向二进制那种, ...
所以说挖二进制漏洞的过程是不是就是一个先fuzz然后分析crash文件判断是否可利用的过程,我最近在尝试afl和libfuzz,因为不知道afl的input文件怎么做变异策略,所以还是觉得libfuzz更好上手(主要是比afl快),不过最后就是执行那个crash然后找位置(贼累,不过很有趣);最后,楼主的渣男本质暴露了
|
能力值:
( LV3,RANK:35 )
|
-
-
11 楼
文章不长,但字字珠玑,深入人心.收获,很大. 其实我也有过同样的疑问,自己参加众测,src时只能挖到低危,甚至花费很长时间也测不出什么.有时候确实很怀疑自己.现在也算是明白了一点吧. 重要的还是努力,恒心毅力,以及不断的向前.
|
能力值:
( LV1,RANK:0 )
|
-
-
12 楼
文章不长,但字字珠玑,深入人心.收获,很大. 其实我也有过同样的疑问,自己参加众测,src时只能挖到低危,甚至花费很长时间也测不出什么.有时候确实很怀疑自己.现在也算是明白了一点吧. 重要的还是努力,恒心毅力,以及不断的向前.
|
能力值:
(RANK:520 )
|
-
-
13 楼
好文,所以高手之所以是高手,都是因为他们付出了巨大的努力!
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
难怪自己这么菜
|
能力值:
( LV13,RANK:520 )
|
-
-
15 楼
我还以为你不搞技术了。
|
能力值:
(RANK:10 )
|
-
-
16 楼
冷板凳练习十万个小时,就是这个道理。
|
能力值:
( LV12,RANK:779 )
|
-
-
17 楼
半夜三更调试代码的时候, 与 kyo 感同身受。
|
能力值:
( LV1,RANK:0 )
|
-
-
18 楼
还有人评论说“好文”,简直搞笑,楼主对挖洞一无所知
|
能力值:
(RANK:500 )
|
-
-
19 楼
obalabala
还有人评论说“好文”,简直搞笑,楼主对挖洞一无所知
那你放出你的观点嘛。 你注册一个临时用户,然后一味的嘲笑与反驳有什么意义?
|
能力值:
( LV7,RANK:150 )
|
-
-
20 楼
厉害厉害。又想起来第一次看版主《一次艰难的渗透纪实》的震撼。黑客,最重要的还是想法,就是看完别人的漏洞,我怎么想不到呢那种疑问。
最后于 2019-9-2 15:11
被shuozhang编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
21 楼
赞,说出了心声
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
感谢版主大大分享经验,难得还能看到这样的好文,也希望大家多多再web安全板块交流经验。
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
感谢版主分享 受教了
|
能力值:
(RANK:135 )
|
-
-
25 楼
感谢分享!受益颇多!
|
|
|