前言 经过上传替换私钥拿服务器之后,这次又碰到一个类似的 但和以往不同的是,没开启私钥登录,也没有私钥文件。 正文 不同的系统,加载的同一套第三方上传框架 看看对应端口打开没 存在,打开是空白 fuz...
03月20日13 views评论上线
反弹shell
任意文件上传的曲折到等待上线
03月20日13 views评论上线
反弹shell
03月20日13 views评论上线
反弹shell
实战 | 向日葵RCE+无文件落地上线CS
💡 背景朋友溯源的时候一不小心打开的木马文件 该木马对注册表进行读写+远程下载文件+自动启动项 经过一些列的五花八门操作 最终锁定IP为 113.70.XX.XX经过查询为广东佛山某地信息收集不多说直...
03月18日7 views评论payload
rce
文心一言和ChatGPT的一些对比
今天下午看手机邮件,发现昨天申请的文心一言邀请码发放了,怀着激动的心情,马上登录上去,填写邀请码并开始了一些测试和使用。作为中国“全村希望”的百度AI作品,文心一言被大家给予了厚望,但是昨天发布会还没...
03月17日18 views评论ai
chatgpt
实战|一次对BC网站的渗透测试
作者:xzajyjs, 转载于FreeBuf.COM法律声明此渗透测试后已将所有信息移交警方,请勿用于非法用途。信息搜集首先当然是通过fofa进行bc网站的后台搜集(搜索语法大家自行探索),...
03月07日18 views评论windows
渗透测试
记一次完整体系的攻防演练
前言,本次笔记是记录在工作中的一个攻防演练环境搭建和通过部署的应用存在的文件上传漏洞getshell,接着上线frp,接着上线msf,实现msf远程渗透。准备工作:1,在客户的内网环境部署一个Wind...
03月03日9 views评论客户端
服务器
Weblogic漏洞利用图形化工具【文末赠书】
WeblogicExploit-GUI:支持利用漏洞类型:CVE-2020-2551CVE-2020-2555CVE-2020-2883CVE-2016-3510CVE-2016-0638CVE-20...
02月24日17 views评论cve
weblogic
实战|对一次博彩站点的渗透测试
一次工作摸鱼的时候,找到一个博彩站点,看了一眼主站有waf显然打不通,结果在找其他资产的时候发现一个 "老破站" 。找到它后台爆破的时候发现shiro反序列化,这不是直接一键getshll吗?(有手就...
01月25日23 views评论公众号
渗透测试
对某服务器木马程序的分析
此文发表于《电子数据取证与网络犯罪调查》(第五辑),一度在硬盘里遍寻不见,幸好张老师有留存。年纪是大了,记性差许多,还是觉得放在这里有个保障。今天是“人民警察节”,就以这种方式纪念下。感慨:在分析木马...
01月11日20 views评论exe
windows
Cobalt Strike中关于Beacon的冷知识
本文我们简单来说下Cobalt Strike的使用和Beacon的相关知识。上线CS生成win的 PayloadPayloads-windows stager payload-Windows excu...
01月07日8 views评论https
windows
利用腾讯云函数上线CS
在我们上线cs时,常会考虑这样一个问题。如果直接暴露cs服务端的IP地址,岂不很危险。于是我们通过云函数来上线我们的CS从而保护服务端IP。实验环境腾讯vpsCS4.7首先,我们需要登录腾讯云,开启云...
01月03日1 views评论函数
服务端
软件开发安全应用实践中的十个误区
当下,软件开发安全的理念很火,各行各业都已认识到保障应用系统开发安全的重要性,但是要真正实现起来,结果却不是那么理想。开发安全难深入、难落地已成为常态。很多时候,尽管你工作很努力,但就是难以进步,主要...
12月09日60 views评论信息安全
源代码
围观HW报告|打穿某国企下属企业
免责声明由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月09日31 views评论hw
密码