FOFA语句icon_hash="-859381597"注册不可登录账号1.1 使用虚拟解码平台注册手机号解码平台注册手机号进行登录这咱都不用管,看请求包数据就完事了请求包如...
09月14日47 views评论en
zh
浪潮人力资源管理系统未授权访问
09月14日47 views评论en
zh
09月14日47 views评论en
zh
宏景ehr sql注入tamper脚本(sqlmap使用)
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,鹏组安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才...
07月13日85 views评论s
sqlmap
记一次最终被忽略的graphql漏洞挖掘经历
0x00 起因几个月在hackerone上挖掘某高赏金厂商,走了一遍业务点后,偶然发现http history里面有个graphql的接口于是一场坐牢之旅开始了0x01 前置知识与内省查询不了解gra...
07月05日103 views评论en
__
[骚思路免杀]emoji免杀
封面回复关键词:007先看代码:三行,没错,就这么简单。。先看一下解码一步一步来拆解先介绍这个base100编码详细的库在这base100编码https://pypi.org/project/pyba...
06月19日28 views评论kernel
shellcode
泛微e-office9getshell
漏洞详情 漏洞原理inc/auth.php的登录验证在未登录情况下会获取X-Requested-With的值,如果等于”LOGIN_USER_ID“就会直接结束,不等于时会使用header跳转到登录页...
06月14日33 views泛微e-office9getshell已关闭评论cn
id
【漏洞通告】海康威视摄像头等产品命令注入漏洞(CVE-2021-36260)
通告编号:NS-2021-00412021-09-22TAG:海康威视、命令注入、IP摄像机、NVR 固件漏洞危害:攻击者利用该漏洞,可实现远程命令执行。版本:1.01漏洞概述近日,绿盟科技CERT监...
06月09日93 views【漏洞通告】海康威视摄像头等产品命令注入漏洞(CVE-2021-36260)已关闭评论命令注入漏洞
远程命令执行
记测试过程中登录参数加密逆向分析
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
05月20日27 views评论aes
加密
攻防系列之全垒打
资产收集第一步,域名收集首先打开目标官网并且在tianyancha、qichacha等网站上进行收集目标域名。天眼查:https://www.tianyancha.com/对目前环境来说,是最适合也是...
05月19日30 views评论ip
域名
峰回路转之捡漏CNVD证书
点击蓝字,关注我们01前言鹰图真好用HAHAHAHA.今天讲点压箱底的东西.02灵机一动最近这半个多月,瓶颈期了,黑盒黑不出东西,白盒审不出东西幸好今天灵机一动换了个资产搜集语法直接打到移某通信的sw...
05月16日49 views评论cnvd
端口
PhpMyAdmin 5.1.1 - XSS(跨站点脚本)
描述:已发现一系列弱点,可能允许攻击者将恶意代码注入设置脚本的各个方面,从而允许 XSS 或 HTML 注入。GET /phpmyadmin/setup/index.php?page=servers&...
05月15日75 views评论phpmyadmin
xss
一次测试过程中登录参数加密逆向分析
文章来源 :黑白之道在测试过程中遇到一个登录框,看到前端加密的情况下对密码处进行了简单的加密分析在控制台中打开网络,匹配Fetch/XHR,可以看到password处进行了加密处理在js中全...
05月02日23 views评论aes
加密
安全研发之剪贴板注入
前言Windows 剪贴板允许我们以各种不同的格式存储数据,这样可以避免在注入执行 payload 的过程中使用一些比较敏感的 API,比如:VirtualAllocEx、WriteProcessMe...
04月30日33 views评论en
payload
6