免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
记一次Edu挖掘记录
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文链接:https://xz.aliyun.com/t/14232平时不怎么爱挖src,因此除了...
TeamViewer在BypassAV中的妙用
这里直接拿360开刀,火绒安静归安静,杀毒能力还是比360差点的。 TV官方免安装版这是teamviewer官网下载页面: https://www.teamviewer.cn/cn/download/...
账号密码重置的六种方法
0x00 短信验证码回传1、原理 通过手机找回密码,响应包中包含短信验证码2、案例 某网站选择用手机找回密码:点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示:3、修复建议响应包中去掉...
通用漏洞-CRLF注入+URL重定向+WEB拒绝服务
前置知识:1.CRLF注入漏洞是因为Web应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。攻击者一旦向请求行或首部中的字段注入恶意的CRLF,就能注入一些首部字段或报文主体,并在响应中输...
高级蜜罐
最近的某电企hw,踩了太多的蜜罐了。数不胜数,但是最高级的莫属这个。 资产收集到这个资产,发现很奇怪。 其他端口上有目录遍历。 很诱人,很想下。 备忘录写好了账号密码,等着我们。 好,那就打! 可是,...
内网渗透pass系列攻击(超详细篇)
内网渗透三种最常用的pass系列攻击:pass the hash (哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key (密钥传递攻击,简...
HW必备神器|DecryptTools综合解密工具 V2.0(内置20+OA系统加解密、110+设备默认账号密码等)
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平...
攻防实战 | nacos到接管阿里云&百万数据泄露
前言在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直...
攻防实战 | 记一次nacos到接管阿里云&百万数据泄露
本文由掌控安全学院 - 山屿云 投稿在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据...
反编译微信小程序渗透测试技巧-渗透测试
0x01 前言这是一次项目中所遇见的一个案例,感觉比较典型便记录了下来。漏洞已经修复了多数截图也找不到了,目前就只能提供一个大致的思路。末尾可领取字典等资源文件0x02 反编译小程序 在...
[未公开]京师心智心理健康测评系统-账号密码泄露
[未公开]京师心智心理健康测评系统-账号密码泄露资产测绘body="JS/ligerComboBox/ligerTree.js"数据请求包GET /FunctionModular/PersonalRe...