0x01 使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集中间件: IIS 8.5输入admin发现自动添...
实战 | 记一次解析漏洞渗透经历
目标信息如下环境:windows iis7.5 PHP/5.3.28看到 iis7.5+php 第一时间就想到了 Fast-CGI 解析漏洞解析漏洞页面是一个登入页面,一个二级域名这里随便找一个图片链...
Webshell的利用
Webshell 是黑客经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除 web 页面、修改主页等。黑客通常利用常见的漏洞,如 SQL 注入、远程文件包...
渗透测试之windows系统提权总结
转自:乌雲安全起因,由于前几天拿了一个菠菜站的webshell,但是只有iis权限,执行无法创建用户等操作,更无法对整个服务器进行控制了,于是此时便需要提权了,对于一个刚刚入门的小白来说,此刻真正意识...
冰蝎WebShell免杀生成(附下载)
本工具仅限授权安全测试使用,禁止非法攻击未授权站点✴️文件MD5值校对文件:ByPassBehinder.exeMD5 HASH:04caea5648786157fb65dd51d2bc061e☑️使...
基于Py-Shell安全应急
findWebshellfindWebshell是一款基于python开发的webshell检查工具,可以通过配置脚本,方便得检测webshell后门。该工具具有一定的扩展能力,能够通过字典添加以及插...
RASP的安全攻防研究实践
戳上面的蓝字关注我吧!本文在2022-09-18首次投稿于凌日实验室,原文链接:RASP的安全攻防研究实践01前 言前段时间研究了一下JRASP的代码,在研究过程中看到了2022年Kcon会议上徐元振...
渗透测试靶机练习No.123 HTB:Devel(OSCP Prep)
靶机信息靶机地址: https://app.hackthebox.com/machines/Devel靶场: HackTheBox.com靶机名称:Devel难度: 简单提示信息: ...
.NET下规避双引号实现MySQL写入Shell
0x01 背景.NET安全矩阵群有位师傅私聊说明遇到Mysql写ASPX一句话木马总报错的问题,经过一连串的测试发现只要代码里出现双引号就会像PHP一样自动转义成",本文也是记录解决这个问题的大致过程...
实战 | 记一次ASP站点代码审计的利用
现在在酒店等国护开始,之前市hw的时候碰到的一个asp环境,因为相关的漏洞都是php版本的,而环境是asp,所以找了个源码进行审计下,这边做个记录入口点一个注入iis+asp,通过unicode编码配...
Web安全-一句话木马总结
概述在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?先来看看最简...
webshell样本,用于测试webshell扫描器检测率
####################免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开...
27