前言通过渗透拿到一台内网机器的低权限用户后,无法进行进一步利用时,可以使用系统命令来搜集查找一些当前机器可能存在的敏感文件信息。0x01 Windows 环境根据文件名称搜索利用dir命令查找当前目录...
Drupal XSS漏洞复现(CVE-2019-6341)
1、漏洞介绍:方式:通过文件模块或者子系统上传恶意文件触发XSS漏洞参考:https://paper.seebug.org/897/2、漏洞危害:JS代码执行(Cookies 资料窃取、会话劫持、钓鱼...
《VirusTotal 2021 年度恶意软件趋势报告》
VirusTotal 是世界上最大的威胁观测点,自从 2004 年开始已经持续监测 17 年。目前,VirusTotal 已经积累 30亿+ 文件(包含解压缩子文件在内约为 500 亿个)、10亿+ ...
连踩两次 css-loader 的坑,我悟了……
css-loader 我真记住你了!问题描述准备自己搭一套前端框架,一路都很顺,当遇到 [email protected] 去加载样式文件的时候,打包出来之后出现了一些莫名巧妙的文件(我是准备去修改 e...
实战绕过阿里云WAF
原创文章渗透实现渗透技术原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢!前言:下面的漏洞挖掘案例,将会用到上篇提到的几个挖掘技巧。1、我发现目标站点是存在传参回显的,我在参数school...
实战 | 记一次钓鱼网站的渗透
睡前日常翻群,发现一个群内有可疑的”腾讯文档”链接,点进去后,让扫码,猜测为钓鱼网站。二维码识别出来后为一个url:http://abc.example.com/wdtx/aqqdoc.html?ud...
使用JEB、IDA Pro进行静态分析
前言Android应用的逻辑代码是由Java进行开发,所以是第一层就是java代码,Java虚拟机JVM运行的是java文件编译过后的class文件,Android虚拟机Dalvik并不是执行Java...
一次利用哥斯拉马绕过宝塔waf
这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站, 配置有宝塔WAF用 Discuz!ML 3.X 的漏洞进行攻击,但是没有成功发现主站外链会有一个发卡网,引导人们来这充值,是...
未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据
更多全球网络安全资讯尽在邑安全虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进...
【AndroidManifest.xml加密解决办法】
作者:胡铭凯 美亚柏科培训基地培训讲师,转自:美亚MCE在线您知道AndroidManifest吗?我们先来看看AndroidManifest是什么?AndroidManifest即应用清单,每个AP...
如何使用.gitignore忽略Git中的文件和目录
通常,在项目上使用Git的工作时,你会希望排除将特定文件或目录推送到远程仓库库中的情况。.gitignore文件可以指定Git应该忽略的未跟踪文件。在本教程中,我们将说明如何使用.gitignore忽...
FFmpeg远程文件窃取漏洞
1漏洞起源FFmpeg 远程文件窃取漏洞最初来源是国外的漏洞平台,去年已在CTF比赛中被使用。官方今年一月份发布修复版本并公布了该漏洞编号CVE-2016-1897(CNNVD-201601-270)...
108