免费&进群本文由掌控安全学院 - 我不是大佬 投稿看到一处登录后台,各种操作都尝试过无果,翻了一下js,看到一处文件上传接口泄露(没图了,已经整改了)构造上传数据...
11月13日50 views评论弱口令
攻防演练
实战纪实 | 记一次攻防演练
11月13日50 views评论弱口令
攻防演练
11月13日50 views评论弱口令
攻防演练
韭要聊聊红队打点过程
仅为抛砖引玉,各位大佬勿喷先来聊聊啥是红队打点,个人理解是:打点就是从0到1,是撕开口子的过程,和常规安服的渗透测试不同,安服的渗透测试限制得比较死,可能是给你个准备上线的平台要求按漏洞点挖,也可能是...
11月13日安全文章24 views评论信息收集
攻防演练
记一次攻防演练利用微信公众号文件上传获取shell
之前一次攻防演练,我看着一堆资产但是一个目标都不知道该咋打找不到什么能打的东西。然后我就试着找找公众号说不定公众号里面会有什么东西试试。然后发现目标公众号有个报故障的地方,可以上传文件。然后我当时上传...
11月05日52 views评论攻防演练
文件上传
一次SQL注入新用法
在参加某市攻防演练的时候,发现目标站,经过一系列尝试,包括弱口令、SQL注入等等尝试后,未获得到有效的入口点。在准备放弃之时,看到页脚的banner:xxxxx信息科技有限公司 [!... 0.前言 ...
11月03日59 views评论sql注入
弱口令
【重点收藏】一文梳理攻防演练流程
申明:文章中涉及操作均已提前获得客户授权许可,敏感信息已脱敏处理。相关案例仅供信息安全从业者参考,尝试利用攻击属违法行为! 0x01 前言 近期参加了好几场攻防演练,跟着团队里的小伙伴学到了很多东西,...
11月03日150 views评论信息收集
攻防演练
记一次攻防演练从弱口令到getshell
在某次攻防演练中发现了一个系统,尝试弱口令登录发现登录成功。 查看图片的时候发现存在目录遍历风险可通过该风险获取敏感信息,例如用户的身份证信息合同信息。 并且还在众多文件中发现演习前的攻击行为(已提交...
11月03日45 views评论getshell
弱口令
攻防演练之区域性攻防打点总结
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
10月30日89 views评论icp
攻防演练
记录一次攻防演练实战过程
记录一次攻防演练实战过程,个人技术有限,本次攻防挖掘到的都是一些常见的漏洞一:后台文件读取漏洞通过前期的信息收集,知道了该目标使用了DTcms框架,从网上搜索该cms的漏洞,但是都被做了限制,在后台测...
10月27日47 views评论xss
攻防演练
攻防演练技巧分享之代理的妙用:QQ快捷登入
攻防演练技巧分享之代理的妙用:QQ快捷登入劫持
硝烟后的茶歇 | 中睿天下谈攻防演练之邮件攻击溯源实战分享
近日,由中国信息协会信息安全专业委员会、深圳市CIO协会、PCSA安全能力者联盟主办的《硝烟后的茶歇·广东站》主题故事会在深圳成功召开。活动已连续举办四年四期,共性智慧逐步形成《年度红蓝攻防系列全景图...
10月25日48 views评论攻防演练
钓鱼邮件
记一次攻防演练找到简单突破口
首先拿到目标单位名在企查查等上面没查到有网址:然后从fofa上根据title搜到几个可以打开的系统,搜一下旁站信息,是bt建的站开局一个登录框,抓包查看信息,像这种明文账号、密码的一般是先查看是否有w...
10月20日62 views评论todesk
攻防演练
43