原文始发于微信公众号(网络安全与取证研究):网站重构中后台登录密码绕过方法
03月08日39 views评论密码
网络安全
【红蓝对抗】某门户系统授权渗透测试
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!前言目标系统使用SiteServ...
03月08日97 views评论getshell
网站
教育实战 |某985任意文件下载
免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
03月03日29 views评论payload
文件
记一次非法网站的渗透
CVE-2021-40097 concrete cms rce
前言某日逛cve,发现一个后台的rce,挺感兴趣就跟了一下,记录一些当时的过程。概况参考https://hackerone.com/reports/1102067的说法,这是一个Authenticat...
02月26日28 views评论cve
rce
asm项目v0.0.2版本总结
背景今天asm项目v0.0.2版本[1]发布了,新增了一些功能:支持"用户浏览器设置代理后访问网站,利用代理扫描发现站点漏洞"新增工作流,支持"探测指定资产是否存在后台对外暴露,站点截图辅助告警运营"...
02月24日31 views评论https
用户
原创工具箱V1.2版本
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
02月22日107 views评论公众号
工具
【案例分享】APP典型攻击手段实现(上)
点击关注公众号,知识干货及时送达👇前言众所周知,金融行业具备较强的互联网侧安全防护能力,通过传统WEB攻击方式已经很难取得正面突破。攻击方愈发重视社工钓鱼、供应链攻击及对移动APP、公众号、微信小程序...
02月22日143 views评论app
公众号
两个0day漏洞挖掘案例
一.前言基本情况这是之前挖到的两个0day,都拿了CNVD的证书,厂商已修复,大概说下整体思路和挖掘过程挖掘过程绕过登陆(无效)-发现接口-JS审计-爆破接口-未授权访问-SQL注入二.打点收集1.失...
02月22日35 views评论admin
后台
一次成功的子域名劫持案例
之前在先知社区和 freebuf 上看过关于子域名劫持的文章,一直觉得这种漏洞挺有意思,但是总感觉很难撞到能真正利用起来的,希望有一天我也能挖个这种洞。子域名挖掘—在挖某厂商的SR...
02月21日48 views一次成功的子域名劫持案例已关闭评论ip
php
信息收集工具箱
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本...
02月20日44 views评论原文
工具
edusrc漏洞挖掘、|剑走偏锋
作者:辛巴大佬前面几天的内容:edusrc漏洞挖掘第一天edusrc漏洞挖掘第二天edusrc漏洞挖掘第三天edusrc漏洞挖掘第四天edusrc漏洞挖掘第五天edusrc漏洞挖掘第六天今天已经是我们...
02月20日94 views评论http
漏洞挖掘
33