Web-Data访问站点发现是某个会议系统,信息收集扫一下目录文件/report/存在未授权访问关于处泄露开发厂商,访问过去拿到源码开始代码审计/report/目录下的aspx文件也都是未授权状态,这...
06月07日28 views评论代码审计
后台
记一次代码审计靶场速通
06月07日28 views评论代码审计
后台
06月07日28 views评论代码审计
后台
积木报表系统 代码审计
最近一次攻防中简单的代码审计
前两天在攻防的时候,遇到一个目标,这个目标以前我打过,而且我的webshell还是存活的,但是漏洞修复了。于是我问裁判可以直接进行横向了吗,裁判说不可以,需要有完整可复现的攻击,历史shell不算。当...
06月03日23 views评论example
代码审计
24年护网工具
24年护网工具集 护网其实不单单是在开始后的值班,更重要的是护网前资产的梳理、漏洞的发现,风险的发现,从而进行加固,以确保真正开始后能够抵得住攻击。可以看我之前写的护网前中后(护网怎么做,护网前、护...
06月03日94 views评论代码审计
信息收集
应急响应靶场集
应急响应靶场集 吉祥学安全知识星球🔗除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。 护...
06月03日67 views评论代码审计
应急响应
【红队基础 武器开发】一篇文章上手JAVAGUI武器开发
前言 以下实例讲解仅作技术分享,无教唆指导任何网络犯罪行为,因为传播利用本文所提供信息造成的任何结果,均由使用者本人承担责任,公众号作者不为此承担任何责任! 架构 初步了解完整的javafx架构,因为...
06月03日27 views评论代码审计
任意文件上传
记一次代码审计的外围打点
0x01 前言 本文记录了在某次攻防演练项目中的经历,发现使用的是框架CodeIgniter 4.0。进一步,经过代码审计发现两处上传点成功获取Shell,揭示了系统存在的安全隐患。 0x02 漏洞发...
06月03日51 views评论代码审计
子域名
自动代码审计工具 Code-audit
0x01 工具介绍(不咋的)代码审计,自动化代码审计只支持PHP。 0x02 安装与使用软件截图 0x03 下载 https://github.com/yuag/Code-audit 原文始发于微信公...
06月03日41 views评论javascript
代码审计
大华智慧园区综合管理平台 代码审计
前言 在23年 HW 期间大华智慧园区综合管理平台爆出来了非常多的漏洞,本着学习的心态来看看漏洞成因 FOFA:body="/WPMS/asset/lib/gridster/" 代码审计...
06月03日43 views评论servlet
代码审计
代码审计-Java项目-组件RCE代码执行漏洞审计
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等...
05月31日13 views评论rce
代码审计
教育行业hw某系统代码审计
fofa目标挺多的都是各大高校。rce点1,该系统引入了帆软。有帆软漏洞的可以以此为入口打。漏洞点2存在ueditor该版本是存在ssrf的rce点3,可以很明显的看到sql注入使用+拼接了从前端转递...
05月30日31 views评论rce
sql注入
代码审计-Java项目-SSTI模板注入
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等...
05月28日23 views评论rce
代码审计
71