本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 开局一个登陆框 弱口令无果,翻看js接口找未授权也无果,爆破...
12月23日34 views评论众测
技巧
众测实战技巧
12月23日34 views评论众测
技巧
12月23日34 views评论众测
技巧
泛微E-Office信息泄露漏洞 [新][梅开二度]
免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 昨天不是发了一个新的泛...
11月11日14 views评论信息泄露
信息泄露漏洞
某+系统0day 影响万级资产
本文由乎阿米原创 没什么好说的,开发在测试的时候总会遗留一些"隐藏账号"本文字数:353字 图片数量:4张阅读时间:1分钟读者必看:公众号推送机制变了,请...
07月12日100 views评论0day
账号
某缴费系统越权加未授权访问
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
05月17日44 views评论未授权访问
越权
浅谈JS-Forward前端-参数解密
这两月推的前端JS参数解密比较火的JS-Forward,,认真看了下,作者的Js逆向玩的挺好,初衷就如作者所说,https://github.com/G-Security-...
02月18日113 views评论payload
加密
Edu_Src资产收集的测绘技巧
fofa:((title="学校" || title="高中" || title="中学" || title="中等专业学校") && country="CN") &&...
02月16日18 views评论fofa
src
这个DNSLOG是我见过最好用的
兄弟们,发现一个贼好用的神器。这个DNSLOG是我见过最好用的域名是DDDD.CAM凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑...
12月31日103 views评论dnslog
字数
Red Team之7- tcp/udp - ECHO渗透
该主机上正在运行一个echo服务。echo服务用于测试和测量目的,可以监听TCP和UDP协议。服务器发送回它接收到的任何数据,不做任何修改。通过将回声服务连接到同一台或另一台机器上的回声服务,可能会导...
12月08日120 views评论service
tcp
7-25红蓝资讯
安恒发布明御WE防火墙V3.0.4.6.33以下版本存在漏洞,V3.0.4.6.34已修复2.https://github.com/FuckRedTeam/360tianqingRCE为恶意投毒3.h...
07月26日HW&HVV37 views评论https
漏洞
调查取证 | 一键提取微信相关信息
本来想更新一个SRC的, 但是一直在修复期间, 所以一直没有发, 感觉还挺有意思的下午群里吹水, 看到有师傅问微信提取手机号之类的刚好复习的人麻了, 之前的几个构思大的工具也都只写了个初版就...
05月05日41 views评论师傅
注册表
记某管理平台的一次Getshell
重码请谅解。废话不多说,咱们直接开始!1.弱口令测试一波无效2. 发现URL有二级目录,不妨删了看一下,来到了app小程序。账号、密码直接映入眼帘F12改type值为text,密码直接成明文。3.先把...
03月27日55 views评论公众号
安全
XX学院简单逻辑漏洞
统一身份进来之后点这个更多往下拉 有个公寓管理系统进来之后点这个谈话谈心记录进来之后点这个被访人学号或姓名,随便输入字什么都行,能发现抓到一个包我这里是输入了“王张”用Repeater看发现SFZ信息...
03月22日75 views评论xx
公众号