该工具是去年内部红蓝对抗项目做的一个工具,目的是绕过NIDS\杀毒软件等安全防御策略收集内部所有公用机器登录的用户密码 修改注册表实现记录明文密码 通过Windows原生http方式将密码通过aes加...
安全博客
安全博客
CTF专场
重温 2021 虎符杯 CTF Internal System
前言解题JS 弱类型登录绕过SSRF 拿到 HintNodeJS 8 HTTP 拆分实现的 SSRF 攻击开始攻击Ending......前言前段时间让炒币弄的没心思学习,现在全赔光了,终于可以安下心...
安全文章
实战 | 某大学综合漏洞挖掘
前言“申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!”Part 1漏洞挖掘“ 日常EDUSRC上分,看到群里的师傅都是用0day刷屏,DD就只能羡慕了。 ...
安全文章
渗透实战 某文档模板设计站点#垂直越权
△△△点击上方“蓝字”关注我们了解更多精彩0x00 因果的因临近春节,又到了写工作总结的时间点了。万事开头难,想着去找一个酷酷的PPT模板,于是就有了接下来的故事了。//不会写总结该怎么办…0x01 ...
安全文章
云主机RDP/SSH异地登陆提醒绕过
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
安全文章
漏洞复现-某系统0day
免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录! 漏洞简介:江苏...
安全文章
通达OA任意用户登录漏洞预警通告和处置建议
飓风安全应急平台通报,通达OA前台任意用户伪造登录漏洞。一、基本情况近日,发现通达OA存在任意用户伪造登录漏洞,通过该漏洞可使远程攻击者伪造任意用户登录,系统应用范围较广,因此威胁影响范围较大。目前通...
安全文章
一次奇葩的任意用户登录
01在火线测试某src时发现一个界面,域名为xxxa.xxx.com,是一个登录界面,发现该界面支持使用手机号登录以及注册功能,测试后发现该网站使用的短信验证码为12345602因此用脚趾头都能想出来...
安全文章
某某健康管理CMS存在登录验证绕过
前言 某某健康管理CMS存在登录验证绕过一.漏洞复现后台登录为这个样子的这里我们随便输入用户密码和手机,然后用burp suite抓包POST /Fram...
安全闲碎
【第12周】编写油猴脚本,实现自动登录下载Oracle产品
研究Java漏洞的爱好者,不免要经常去Oracle官网下载各种版本的Java JDK,Weblogic等。我们都知道,Oracle相关产品是需要登录才能下载的。这就意味着你要注册个账号,并且每次下载都...
安全文章
【奇技淫巧】一条命令揪出ssh登录者物理地址
点击上方蓝字关注“公众号”查看个人博客服务器发现有异常网络连接看看究竟是谁ssh登录成功了 grep ftp #ftp为通过ssh登录成功者用户之前查出是该用户配置有安全隐患 故过滤出该用户登录情况p...
安全文章
新型网络钓鱼活动:伪装成公司高管收集员工登录凭证
更多全球网络安全资讯尽在邑安全Cofense 网络钓鱼防御中心(PDC)近日发现了一个新的网络钓鱼活动,试图通过扮演首席信息官(CIO)来收集员工的登录凭证。在发送给员工的钓鱼邮件中,正文部分看起来像...
