扫码领资料获网安教程免费&进群前言在测试的过程中,经常会遇到RCE漏洞没有回显的情况,这种不能直接在页面上看到命令执行的结果,本篇文章来看看遇到这种情况如何去利用。由于本人水平有限...
11月24日60 views评论rce
渗透测试
渗透测试之RCE无回显利用方式
11月24日60 views评论rce
渗透测试
11月24日60 views评论rce
渗透测试
实战|某继续教育招生报名网存在支付漏洞
本文由掌控安全学院 - 郎贤坤 投稿 1.找到该网站的一个登录页面,注册好账户密码登录进去 2,进去之后,找到一个网上缴费功能 3.选择338元的套餐,支付方式我选的支付宝用burp抓包 发现mone...
11月24日30 views评论支付漏洞
为什么说IOC不是威胁情报
也不知道,大家(甲方)这些年买的威胁情报到底是什么?最近跟甲方老师和乙方专家闲聊了一下。笔者:如果威胁情报厂商卖的都是最底层的IOC,那跟传统的NIDS规则有多大区别?甲方A:好的情报技术含量很高的,...
11月24日19 views评论威胁情报
数据源
CISP|CISE和CISO有什么区别
CISP CISP,注册信息安全专业人员,是由中国信息安全产品测评认证中心实施的国家认证。从认证方向区分,CISP分为CISE和CISO,CISE偏向技术,CI...
11月24日206 views评论信息安全
网络安全
【攻防小词条04 | 攻防技巧】探测虚拟环境与逃逸突破(一)
免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。场景介绍 当攻击方成功拿下一台主机权限...
11月24日16 views评论vendor
虚拟环境
记一次教育培训漏洞挖掘
关注本公众号,长期更新漏洞复现,实战文章,漏洞详解等原创文章。信息收集使用fofa+OneForAll进行资产收集,并去重得到子域名逐个查看资产,挑选重要比较容易出现漏洞的资产进行测试。短信轰炸漏洞输...
11月24日16 views评论弱口令
漏洞挖掘
利用JS文件检查与Fuzz进行越权操作
漏洞的发现是通过检查网站源代码中的JS文件,在这些JS文件中,发现了一些可疑API端点。通过Fuzz技术来确认这些API端点的参数,并最终对高权限API端点进行越权操作。好的,让我们现在开始吧!在这个...
11月24日33 views评论fuzz
js文件
【Web渗透】SQL注入
sql注入详解在对一个 ctf 打 sql 注入的时候,我们第一步就是要寻找注入点。怎么寻找注入点呢,因为后端源码我们都是不知道的,所以我们只能通过抓包的方式观察所有能提交的参数进行 sql 注入的测...
11月24日17 views评论数据集
注入点
网络安全入门-域名抢注
概述域名仿冒尝试利用用户在地址栏中直接输入URL时引入的印刷错误(即“打字错误”)。通过利用用户错误,网络威胁行为者将毫无戒心的用户引导至与原始域名极为相似的非法域名。这种策略涉及购买和注册与现有域名...
11月24日安全百科21 views评论安全入门
拼写错误
vArmor-eBPF ②
项目介绍借助 Linux 的 LSM 技术(AppArmor & BPF)实现预览(告警)模式和强制访问控制器,用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。项目...
11月24日52 views评论ebpf
rce
HTB-Hospital(Medium)
知识点:Single-file_PHP_shell,Ubuntu_Local_Privilege_Escalation,Ghostscript-command-injectionScan┌──(kal...
11月24日344 views评论microsoft
nmap
PLM、ERP、APS、MES几种信息系统的数据集成
导读:本文就PLM、ERP、APS、MES各自功能和相互之间需要通信的基础数据进行探讨,分析几个系统集成的方法,供企业进行信息化时借鉴。01前言技术的发展日新月异,企业要增强竞争力,在市场竞争中立于不...
11月24日22 views评论erp
信息化
7089