声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
CSRF+xss+flash钓鱼,坐等cs上线肉鸡
前言CSRF感觉似乎很不值钱的样子,我前几天审计出了3个后台存储xss+csrf然后cnvd跟我说不收csrf和后台存储xss,自此后台我从不找xss和csrf但是毕竟作为目前毕竟出名流行的一个漏洞,...
宝塔后台加密分析
原文始发于微信公众号(网络安全与取证研究):宝塔后台加密分析
漏洞复现 微议管理系统后台文件上传漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
实战 | 记一次ASP站点代码审计的利用
现在在酒店等国护开始,之前市hw的时候碰到的一个asp环境,因为相关的漏洞都是php版本的,而环境是asp,所以找了个源码进行审计下,这边做个记录入口点一个注入iis+asp,通过unicode编码配...
汽车Tbox是什么?
点击上方蓝字谈思实验室获取更多汽车网络安全资讯Telematics BOX,简称汽车T-BOX,车联网系统包含四部分,主机、汽车T-BOX、手机APP及后台系统。主机主要用于的影音娱乐,以及车辆信息显...
看我如何通过旁站拿下裸聊诈骗的后台
在url后面输入admin,果然成功跳转到后台当输入用户名密码的时候可以显示用户名不存在发现这里,验证码无法多次利用爆破不了打开了其中一个网址发现是也是一个登陆界面看到这熟系的界面微盘杀猪盘尝试在UR...
弱口令yyds之拿到数据库权限
前言红队最重要的就是前期打点,打点快得分快。尤其是弱口令,往往可以出奇制胜, admin/admin、admin/123456、admin/admin123这样的弱口令那是比比皆是,利用弱口令进后台,...
【转载】记一次某系统的渗透测试
开端前几个月被授权进行某大型运营商的渗透,在过程中也是遇到了一些比较有意思的东西,特此记录一波最开始是通过一个webpack+未授权访问的接口获取了另一个系统的权限,根据获取到的口令进行复用对其他资产...
8月17日安全文章整理,完整版公众号后台回复220817获取
欢迎关注 原文始发于微信公众号(威胁猎人):8月17日安全文章整理,完整版公众号后台回复220817获取
实战 | 一次从废弃系统入手到内网漫游
本文仅用于技术讨论,切勿用于违法途径,后果自负!入口首先是主站,测试了下没发现上面可疑的点然后扫了下子域名和旁站发现一个bbs网站,看样子是废弃了很久的admin/admin弱密码成功登录后台尝试找上...
小菜鸡的攻防演练之旅
引言最近参加了一次小型攻防演练也是我第一次参加这种活动,所以简单记录下过程。信息收集此次活动的主要目标是当地医院而且因为规模不大,所以信息收集的工作相对比较简单。简单介绍下此次攻防演练中信息收集的工作...
37