免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如...
01月10日49 views评论敏感信息
账号密码
某后台管理系统加密参数逆向分析
前言在我们日常的渗透中经常会遇到开局一个登录框的情况,弱口令爆破当然是我们的首选。但是有的网站会对账号密码等登录信息进行加密处理,这一步不由得阻碍了很多人的脚步。前端的加解密是比较常见的,无论是 we...
01月10日14 views评论管理系统
账号密码
靶机实战(10):OSCP备考之谷安172.16.33.53
谷安靶机:172.16.33.53靶机官网:Tre: 1[1]实战思路:一、主机发现二、端口发现(服务、组件、版本)三、漏洞发现(获取权限)8082端口/HTTP服务组件漏洞URL漏洞(目录、文件)8...
01月10日25 views评论oscp
账号密码
对某供应商网站安全测试及峰回路转
前言有次在路上看到修地铁围栏上贴的一个投诉的二维码,用手机扫描,发现是一个XX视频监控系统。接着在系统底部发现某公司提供技术支持,故对他进行安全测试。信息收集打开搜索引擎:输入公司名称找到目标公司网站...
01月08日24 views评论安全测试
账号密码
nacos到接管阿里云和百万数据泄露
【逻辑漏洞】任意账号密码重置
0x00 短信验证码回传 1、原理 通过手机找回密码,响应包中包含短信验证码 2、案例 某网站选择用手机找回密码: 点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示: 3、修复建议 响应包...
01月06日40 views评论账号密码
逻辑漏洞
【通用/事件-第1期】弱口令2.0时代-小程序后台通用弱口令
通用/事件态势感知弱口令2.0态势:小程序后台批量弱口令后漏洞感知-第1期-小程序弱口令通用今天我们欢聚,为未来喝彩!网络安全路上的跳板,你我终将为网络安全尽绵薄之力! &nbs...
01月03日55 views评论小程序
弱口令
记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘
0X01 前言 在某次攻防演练,某家做儿童学习系统的公司 给的资产只有ip,ip上只有官网。无法获取到什么有用的信息。 末尾领取资料,资源 0X02 漏洞复现 发现目标单位存在一个微信小程序,从微信小...
01月03日46 views评论sql注入
漏洞挖掘
从Src到企业内网
No.0前言美国五星上将麦克阿瑟这样说“渗透测试最为重要的内容是起点的信息搜集”No.1通过信息泄露爆破账号进入后台通过信息泄露完成对员工账号的收集随意输入账号密码后,用burp抓包发现大量信息泄露就...
01月03日34 views评论信息泄露
后台
记一次从Git原码泄露到Get到目标服务器root权限
0x01前言 测试的时候可以多输入.git、config.js、robot.txt等看看有没有信息泄露。 开局一个git泄露 https://a.com/.git/ 姑且称它为A域名吧。 没多少文件。...
12月25日45 views评论目标服务器
账号密码
网*接口Account and password leakage
一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用...
12月17日32 views评论ac
账号密码
【1day】Tenda账号密码泄露之2个POC
师傅们,HW结束后,最近发先有好多day流出,慢慢的正在促进整个网络安全环境的改变,让网络安全成为生活中随处可见的一种科学技术,也让更多的人们认识到信息...
12月14日80 views评论网络安全
账号密码
28