本文由掌控安全学院 - 嘉名 投稿 一、信息收集 从来就没有弱口令成功登陆过网站,就想着找找看有没有暴露初始密码的学校网站 谷歌语法搜索site:*.edu.cn intext:默认密码找到一个暴露默...
五千块-某金融赏金SRC漏洞案例
前言近年来,金融SRC一直是小伙伴们觉得难啃的骨头,由于防护设备比较健全,不能直接使用xray、goby等工具进行梭哈,但是SRC的预算还是每年都在增长的,我们总不能让甲方爸爸花不出去钱把,今天分享一...
【案例分享】消失的登录页面
0x00前言在某次测试过程中,遇到了这样一个网站,存在登录页面但却无法直接通过地址栏访问login页面。在 JS 文件中发现了默认密码,同时找到了登录接口,然而密码进行了加密。通过分析JS文件,最终通...
Confluence CVE-2023-22527利用工具
上午看到“Atlassian Confluence - 远程代码执行 (CVE-2023-22527)”这篇文章,下午@莲花师傅就在他的利用工具更新了对这个漏洞的支持,速度真快。 https://bl...
从供水系统被黑看美国关基网络安全保护体系的漏洞
关注我们带你读懂网络安全美国反监管环境导致全面网络安全立法遥遥无期,新推行的水务行业网络安全规定也被废除。年底美国多个供水系统遭伊朗网络破坏,利用的正是此前水务网络安全规定要求改进的弱点。受此影响,水...
实战| 接口未授权导致的信息泄露
本文由掌控安全学院 - blueaurora 投稿 0x01系统初探 通过fofa对大学进行搜索 fofa:host="edu.cn" && status_code=...
多功能综合渗透工具箱-R-Knife!
免责声明 ❝ 本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。 工具介绍 ❝ 综合渗透工具箱,目前拥有快速启动、编码解码、各类设备默认密码、反向Shell...
NacosExploitGUI图形化利用工具
简介本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。支持漏洞Nacos控制台默认密码 Nacos Derby SQl注入漏洞 Nacos未授权访问 Nacos默认密钥 Na...
实战-edusrc漏洞挖掘-接口未授权访问
本文由掌控安全学院 - blueaurora 投稿 0x01系统初探 通过fofa对大学进行搜索 fofa:host="edu.cn" && status_code="...
某金融设备弱口令可致他人交易信息泄漏
去了几个银行,发现都有这个设备:易办事便民支付。手痒乱按了几下:点击“多任务”,会提示输入功能号输入“0”,默认密码“000000”,可进行线路调试,POS签到及最后一笔交易的打印输入“1”,默认密码...
实战纪实 | 学工平台平行越权
获网安教程免费&进群 本文由掌控安全学院-渗透你的美投稿一.账号密码可爆破(无验证码)1.学校学工平台用于请假跟每日上报健康信息,登录框如下:2.经过测试发现这里不存在验...
常见web系统及网络安全设备默认密码汇总(220页)
2023年HW块开始了,之前收集整理的,公众号发直接发容易违规,已更新在我朋友圈,需要的加我好友自取。PS:1、可直接在朋友圈获取下载链接,不定期在朋友圈分享一些好用的工具、资源,欢迎持续关注。2、好...