又到一年“3.15”,不知道今年在网络安全领域有哪些需要保护的消费者权益呢?且让我们来看一篇关于iOS App Store的安全研究论文No Source Code? No Problem! Demy...
JetBrains TeamCity (CVE-2024-27198)
fofa语法body="Log in to TeamCity"app="JET_BRAINS-TeamCity"影响版本TeamCity(On-Premises)< 2023.11.4漏洞复现P...
实战 | 通过js找路径来截断文件上传
前言 edu教育证书站之路 0x01 信息收集 通过fofa,子域名收集等相关工具搜索域名 定位到站点:htps://xx..edu.cn/x/xx/ 0x02 寻找接口 通过f12寻找相关的js,发...
记一次寻找js来文件上传
本文由掌控安全学院 - 不是川北 投稿 edu教育证书站之路 0x01 信息收集 通过fofa,子域名收集等相关工具搜索域名 定位到站点:htps://xx..edu.cn/x/xx/ 0x02 寻找...
【安全服务】XX公司应急响应处置报告
免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。...
攻防|记某次极为顺畅的实战案例
原文链接: https://xz.aliyun.com/t/13557 真实案例,厚码见谅,有些步骤可能有些忘记,截图并不是很全面。 金蝶云星空RCE shell之后尝试上线(出网) certutil...
钓鱼手法及木马免杀技巧
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭...
360天擎sql注入
360 天擎终端安全管理系统是奇虎 360 面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方...
实战案例 | 利用SpringBoot相关RCE漏洞拿下某数字化平台系统
前言 在一次众测项目中,对某大型企业的某套数字化平台系统进行测试,前端功能简单,就一个登录页面,也没有测试账号,由于给的测试时间不多,倒腾了半天没有发现有价值的漏洞,在快要结束的时候,试了几个报错,发...
【Web渗透】Getshell姿势总结
进后台Getshell管理员后台直接Getshell管理员后台直接上传Getshell,有时候带密码的Webshell连接时容易被waf拦截,可以上传不加密的Webshell如有权限限制可以尝试管理后...
某oa命令执行漏洞挖掘思路
首先来看一个历史漏洞,Ognl表达式注入导致RCE,具体payload如下 POST /common/common_sort_tree.jsp;.js HTTP/1.1 Host: xx.xx.xx....
赏金猎人|记一次对某电商平台的多种中高危漏洞挖掘
0x01 前言概述 平台厂商注册资金8000W,平台类型为电商平台,经过探测打点平台存在多种中高危漏洞,大部分为逻辑漏洞 存在漏洞: 任意用户注册 无限短信验证发送 任意用户更改密码用户信息泄露 re...