一键关注! 来自公众号:先知社区 在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。 下面展开有趣的分析溯源过程。 0x01 信息收集 GIthub信息泄漏 根...
工具推荐——Aopo(内网自动化打点)
项目地址https://github.com/ExpLangcn/Aopo获取exe地址关注浪飒sec回复aopo,其他版本自行去项目地址获取当前功能 ICMP并发探测存活IP 对A段只进行网关探测 ...
二十分钟拿下CNVD证书的一次挖洞之旅
最近看到师傅们都秀出了自己的CNVD原创漏洞证书,作为小白的我羡慕不已,经过一段时间的努力,我也顺利拿到了第一本CNVD证书,下面就分享一下思路。通过fofa顺利找到一个满足条件的资产,有五十多个站点...
实战渗透-看我如何拿下自己学校的大屏幕(Bypass)
免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并...
edusrc的几个案例小分享
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全-喜欢悠哉独自在一、序1、许久没有发文章了,就随便发发文章水一水,因为是实战文章,使用码打得厚一点,希望理解。由于...
渗透测试之穷举篇
1. 概述穷举就是枚举的意思,在互联网的今天,需要使用某种的服务,大多数都需要口令登录,这个口令就是密码,密码的强度分为,弱口令 、中度口令、强度口令。如果登录的服务为弱口令,那会存在很大的安全隐患,...
Aopo - 内网自动化快速打点工具|资产探测|漏洞扫描|服务扫描|弱口令爆破
内网自动化快速打点工具|资产探测|漏洞扫描|服务扫描|弱口令爆破 当前功能 ICMP并发探测存活IP 对A段只进行网关探测 集成Xray POC扫描 解析Xray POC V1模版 并发探测主机端口服...
实战渗透从弱口令到getshell
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。一前言这是个人认为近期比较有价值的一次渗透...
Aopo - 内网自动化快速打点工具
内网自动化快速打点工具|资产探测|漏洞扫描|服务扫描|弱口令爆破项目地址:https://github.com/ExpLangcn/Aopo0x01 解决问题遇到问题请在Issues按照模版提交问题!...
【渗透实例】 渗透某站打点到提权
【渗透实例】 渗透某站打点到提权1简介在一个非常烦躁的下午,一位师傅发了一个网站,(我这里有安全狗,这个站必有SQL注入)然后我就下载了安全狗(姿势不多,版本还真的多)下载了三个才下载正确,然后我就直...
实战 -- 记一次艰难的外网打点
前言这是本系列第二篇文章,依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。上一篇写的有点水,更像是成果展示了,我这次着重写外网打点的整个思路流程。PS:对于上一篇,已经稍微补充了一些,但可能...
记一次不讲武德的短信验证码绕过
1. 前调风和日丽的下午开头,记录一次对某个金融行业的攻防,不限制手段。初步接触发现目标在互联网上的web系统较少,大部分存在WAF。在官网找到了一处app介绍界面,对目标的app分析一波,也没有搞到...