OSINT

+

Open-source intelligence, hay OSINT là việc thu thập và phân tích dữ liệu được thu thập từ các nguồn mở. Đây chính là bước đầu tiên cho một cuộc tấn công. Bất kì thông tin về mục tiêu từ báo cáo, sách báo, mạng xã hội,... đều thuộc phạm trù OSINT. Có rất nhiều công cụ hỗ trợ OSINT, có thể kể đến OSINT Framework (website chứa rất nhiều tools được Justin Nordine tổng hợp), Shodan,...

OSINT Tools

OSINT (hay Open-Source Intelligence) là việc thu thập và phân tích dữ liệu thu thập được từ các nguồn mở, thường được sử dụng trong bảo mật, quân sự, tình báo, an ninh quốc gia,...

2 Mar, 2022 / by Asayami

SQL Injection

+

SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject và thi hành các câu lệnh SQL bất hợp pháp

Introduction

SQL Injection: Introduction
Basic Knowledge About Database
How To Connect Database To Website

2 Mar, 2022 / by Asayami

Union SQL Injection

Sau khi đã có kiến thức nền tảng cơ bản, chúng ta sẽ bắt đầu inject

Main Structure
Get Data From Database (UNION & ORDER BY)
Data Extraction using SQLi

2 Mar, 2022 / by Asayami

Error Based SQL Injection

Trong một số trường hợp, có thể Union SQLi không hoạt động một phần, chúng ta có thể có thể cố tình gây lỗi và khiến website hiển thị thông báo lỗi có chứa data cần lấy

Introduction to SQL Injection using XPATH, extractvalue(), updatexml(), SubQuery

10 Apr, 2022 / by Asayami

DIOS & Blind SQL Injection

DIOS có nghĩa Dump In One Shot là các query giúp dễ dàng và nhanh chóng dump các data trong bảng trong một nốt nhạc, còn Blind SQL Injection thường được sử dụng khi pentest trong các case khó

11 Apr, 2022 / by Asayami

MSSQL Injection

Ngoài MySQL, còn có các loại cơ sở dữ liệu khác. 1 CSDL cũng nổi tiếng không kém đó là MSSQL

Introduction
MSSQL Union SQL Injection, DIOS, Error Based Injection

16 May, 2022 / by Asayami

SQL Injection Guides & Prevention

Guides & Other Methods of SQL Injection
Tools
Các phương pháp chống SQL Injection

5 Aug, 2022 / by Asayami

XSS

+

XSS là tên viết tắt của Cross-site scripting. Đây là một hình thức tấn công bằng mã độc phổ biến. Các hacker sẽ lợi dụng lỗ hổng trong bảo mật web để chèn các mã script, sau đó gửi cho người dùng để truy cập và mạo danh người dùng.

Introduction

Introduction about XSS

14 Apr, 2023 / by Asayami

XSS Technique without parentheses

XSS Technique without parentheses

22 May, 2023 / by Asayami

XSS with AngularJS

AngularJS là một thư viện JS rất phổ biến hiện nay, nhưng đi kèm với nó là những lỗ hổng tiềm tàng. Thư viện này đã bị khai thác qua nhiều phiên bản và phải cập nhật, bỏ bớt một số tính năng để đảm bảo tính bảo mật đối với các lỗ hổng đã được tìm thấy.

20 Jun, 2023 / by Asayami

Tools

+

Trong mảng CNTT nói chung và Hacking nói riêng chúng ta phải sử dụng rất nhiều loại công cụ hỗ trợ khác nhau. Dưới đây là một số tools mình tham khảo và biên soạn lại code

Ping Scanner

Nmap là một công cụ hữu ích được sử dụng để thăm dò mạng máy tính, bao gồm phát hiện máy chủ, dịch vụ và hệ điều hành. Hôm nay chúng ta sẽ thử làm một tool có chức năng cơ bản giống Ping Scanning bằng Python

24 Nov, 2022 / by Asayami

Mitmproxy & Python Packet Analyzer

Mitmproxy là một công cụ giống với Burp Suite hay Wireshark, thường được sử dụng để chặn và phân tích các gói tin thông qua proxy, với khả năng tích hợp mạnh mẽ với Python

19 Jan, 2023 / by Asayami

Helical Bruteforcer

Dictionary Attack, hay còn gọi là tấn công bẻ khóa từ điển, là một kỹ thuật tấn công được sử dụng để phá mã hoặc vượt qua các cơ chế xác thực bằng cách thử tất cả các từ trong một danh sách dài được gọi là từ điển.

11 Apr, 2024 / by Asayami

Malware

+

Malware (phần mềm độc hại) về cơ bản là bất kỳ loại phần mềm nào có ý định làm hại vào máy tính (thu thập thông tin, truy cập dữ liệu nhạy cảm…) Malware bao gồm virus, trojan, rootkit, worm, keylogger, spyware, adware, v.v...

Malware Introduction

Malware (phần mềm độc hại) về cơ bản là bất kỳ loại phần mềm nào có ý định làm hại vào máy tính (thu thập thông tin, truy cập dữ liệu nhạy cảm…) Malware bao gồm virus, trojan, rootkit, worm, keylogger, spyware, adware, v.v...
Series này sẽ tập trung tìm hiểu về cách tạo ra một malware, bypass AV (anti virus)

28 Oct, 2023 / by Asayami

Reverse Shell

Reverse shell là 1 loại RCE mà khi đó nạn nhân là phía mở cổng tới máy hacker. Đây là loại tấn công có thể bypass firewall và khó để ngăn chặn. Tuy nhiên, loại tấn công này sẽ khiến hacker bị lộ thông tin server.

19 Oct, 2023 / by Asayami

Reverse Engineering

+

Software reverse engineering (kỹ thuật đảo ngược phần mềm) là quá trình phân tích một phần mềm đã có sẵn để hiểu rõ hơn cách thức hoạt động của nó. Có thể hình dung quá trình này giống như việc tháo rời một chiếc đồng hồ để xem các bánh răng bên trong hoạt động như thế nào.

Reverse Engineering: Overview

Software reverse engineering (kỹ thuật đảo ngược phần mềm) là quá trình phân tích một phần mềm đã có sẵn để hiểu rõ hơn cách thức hoạt động của nó. Có thể hình dung quá trình này giống như việc tháo rời một chiếc đồng hồ để xem các bánh răng bên trong hoạt động như thế nào.

19 Jan, 2024 / by Asayami

Shared Posts

+

Web Cache Deception: Overview

Path Confusion, Web Caching, Cache Keys, Web Cache Deception

29 Dec, 2023 / by Kuldeep Pandya

CORS Misconfiguration: Overview

CORS Introduction, CORS Headers, CORS Misconfiguration Vulnerabilities

28 Mar, 2022 / by 0xn3va

XXE - XEE - XML External Entity Cheat Sheet

Introduction + Training: PortSwigger
Demo - XXE .Net Example: DevelopSec

09 Feb, 2024 / by HackTricks

SSRF Cheat Sheet

Introduction + Training: PortSwigger

29 Jun, 2023 / by Swissky

OS Command Injection Cheat Sheet

Introduction + Training: PortSwigger

9 Feb, 2024 / by HackTricks

SSTI Cheat Sheet

Introduction: Template Engine là gì ?
Training: PortSwigger

16 Mar, 2024 / by HackTricks

Path Traversal Cheat Sheet

Training: PortSwigger

26 Oct, 2019 / by JahTheTrueGod

File Upload Vulnerabilities

Training: PortSwigger
PERSISTENT PHP PAYLOADS IN PNGS: HOW TO INJECT PHP CODE IN AN IMAGE – AND KEEP IT THERE !

18 Feb, 2024 / by HackTricks