前言相信很多前端的小伙伴都有一个这样的想法:自己写了个前端项目,本地玩腻了,想着配个服务器,然后把自己的项目发布到服务器上,搭建一个属于自己的网站。没错,我很早就有了这样一个想法,但苦于知识量匮乏,很...
从web到内网的一些思路及工具
最近一直没发文章,因为真的不知道发一些什么。本人很菜,也一直在学习。总结一些随想吧。一些简单的渗透思路: 其实渗透测试的本质就是信息收集。那么当我们得到一个目标以后,第一时间所去想的应该是如...
实战 | 记一次失败的钓鱼溯源
故事起因这天风和日丽,我正在摸鱼,忽然QQ群弹出一条消息,我打开一看,我感觉不简单。如下图:image-20220615215022845扫码后发现跳转到了QQ邮箱登陆界面,确定为钓鱼网站,看到其域名...
edu SRC挖掘分享
写在前面以下涉及到的漏洞已提交至edusrc及相关官方平台不足之处,还请各位大佬指证。确定站点这里我是对点渗透的,主站域名非常好找拿到主站域名后,先扫一下子域(工具:https://phpinfo.m...
手把手教你腾讯云cos创建图床
关于在腾讯云cos中挂载图床的方法,首先基础要求你需要在腾讯云中注册账号并且进行实名,如果没有进行实名是无法使用腾讯云的服务的。(PS:这里已经注册完成)点击创建存储桶、将创建的存储桶信息填写完整,注...
红队从资产收集到打点
最近想总结一下,在红队渗透拿到一个目标名或者刷src时候,怎么快速信息收集和批量检测来打到一个点,往往在实际项目中就是拼手速。信息收集到打点大致我就分为企业信息结构收集敏感信息收集域名主动被动收集整理...
新一代子域名收集工具
作者:@br0ken_5 && @0chencc项目地址:https://github.com/Acmesec/Sylas项目描述Sylas(塞拉斯)是我很喜欢的一款游戏《英...
干货 | edusrc实战挖掘案例
作者:say0(先知社区)原文:https://xz.aliyun.com/t/11071写在前面以下涉及到的漏洞已提交至edusrc及相关官方平台不足之处,还请各位大佬指证。确定站点这里我是对点渗透...
子域名收集常用工具总结(Layer、subDomainsBrute、sublist3r、dnsenum)
说明子域名是某个主域的二级域名或者多级域名,在防御措施严密情况下无法直接拿下主域,那么就可以采用迂回战术拿下子域名,然后无限靠近主域。例如:www.xxxxx.com主域不存在漏洞,并且防护措施严密,...
洞见简报【2022/5/24】
2022-05-24 微信公众号精选安全技术文章总览洞见网安 2022-05-240x1 实战经验 | Vultr快速部署OpenVPN代理HACK技术沉淀营 2022-05-24 22:0...
发件人伪造和防御原理
前言:之前有写过发件人伪造的文章,链接如下https://mp.weixin.qq.com/s/PegHa-wvRxwEbC67ondrLA蹭一波热点1.SPF要了解什么是发件人伪造,就得先知道SPF...
神兵利器 | 分享个云泄露利用检测Tools(附下载)
0x00 前言文章来源:GitHub项目地址:https://github.com/UzJu/Cloud-Bucket-Leak-Detection-Tools分享个GitHub不错的项目:六大云存储...
55