红队第一期的培训已经结束,跟学员了解到一些情况,做渗透测试、挖SRC都能频频出漏洞,但并不了解如何去将漏洞深入的综合利用。在日常的渗透测试与漏洞挖掘过程中,安全研究人员往往会尽量做到点到为止,仅仅证明...
如何查找更多的子域名
子域名枚举是侦察阶段的重要事项之一,使用不同的技术找到的子域名数量越多,找到漏洞的机会就越大 因此我们将探寻如何查找子域。 Wolfram|Alpha: www.wolframalpha...
如何快速收集网站源码并查找相同网站的备份文件
在网络安全领域,收集网站源码和查找相同网站的备份文件是渗透测试中非常重要的环节之一。通过这些步骤,我们可以获取更多关于目标站点的细节信息,并进一步发现潜在的安全漏洞。今天,我们就来聊聊如何快速收集网站...
渗透测试实战 | 代码审计攻破目标站点
一、事件起因 在一个风和日丽的夜晚,我收到一位朋友的请求,希望我协助检查一个特定的站点。为了表达谢意,他还特意为我准备了第二天晚上的早饭。抱着对美食的期待,我开始着手调查这个站点的问题。 二、渗透过程...
快速识别目标站点:Windows vs Linux服务器探秘
在网络安全工作中,快速判断目标站点的操作系统类型至关重要,这可以帮助安全人员制定针对性的攻击策略或防御措施。传统的方法依赖于端口扫描、指纹识别等工具,但这些方法往往耗时费力,且容易受到欺骗。本文将介绍...
实战 | 一次报错页面搞定zfb钓鱼网站
起因事情是这样的,站长正在无聊的hw看waf中,然后收到一份评论邮件,如下图:当时看到的时候也没在意,然后这个人就加了我的群,在群里说明了一下,说这个骗了挺多人了,然后就发出了目标的网址,我就抱着无聊...
对某CMS漏洞练习平台的一次xss、sql注入、越权黑盒思路分析
简介 熊海CMS是由熊海开发的一款功能丰富的网站综合管理系统,广泛应用于个人博客、个人网站以及企业网站,本文章用于黑盒测试 XSS测试 在测试过程中,我们发现目标站点存在XSS注入漏洞。通过插入特定的...
对某CMS漏洞练习平台的一次xss、sql注入、越权黑盒思路分析(整改)
简介 熊海CMS是由熊海开发的一款功能丰富的网站综合管理系统,广泛应用于个人博客、个人网站以及企业网站,本文章用于黑盒测试 XSS测试 在测试过程中,我们发现目标站点存在XSS注入漏洞。通过插入特定的...
某供应链后续 测绘
本文由掌控安全学院 - 不知江月待何人 前言 完结篇.. 开局 开局一个目标站点www.target.cn 熟悉的产品业务,回来了 一切都回来了 一、资产聚合 核心业务资产:xxx.xxx.xxx....
一款功能强大的网络资源爬取工具
工具介绍Uscrapper是一款功能强大的网络资源爬取工具,该工具可以帮助广大研究人员从各种网络资源中轻松高效地提取出有价值的数据,并且提供了稳定、友好且易于使用的UI界面,是安全研究人员和网络分析人...
MASC:一款功能强大的Web恶意软件扫描工具
关于MASCMASC是一款功能强大的Web恶意软件扫描工具,在该工具的帮助下,广大研究人员可以轻松扫描和识别Web应用程序或服务器中潜在的恶意软件。当前版本的MASC支持Linux和macOS操作系统...
一款功能强大的网络资源爬取工具
1 项目简介 Uscrapper是一款功能强大的网络资源爬取工具,该工具可以帮助广大研究人员从各种网络资源中轻松高效地提取出有价值的数据,并且提供了稳定、友好且易于使用的UI界面,是安全研究人员和网络...