本文目录用strace工具监控记录ssh进程strace是什么strace 是一款可跟踪系统调用和信号的工具如何监控可以用下面这行命令监控 sshd 进程解读一下吧,-f -F是跟踪子进程,-p是获取...
【日刷亿洞】批量爆破Druid后台账号密码
背景 不会用工具的小子不配称为脚本小子,下面是【一个不正经的黑客】推出的日刷亿洞系列的教程,但毕竟不是什么正经公众号,喜欢吹牛但也喜欢将牛落地,主打的就是你对我爱答不理,我对你一往情深,日后,更爱!!...
【攻防实战】地市红队攻防演练经验总结
在过去2023的日子里,参加了某个地市的攻防,因此,想写下该文章总结下经验免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行承...
渗透医院后台
免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。...
通过社工拿下网站
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如...
某后台管理系统加密参数逆向分析
前言在我们日常的渗透中经常会遇到开局一个登录框的情况,弱口令爆破当然是我们的首选。但是有的网站会对账号密码等登录信息进行加密处理,这一步不由得阻碍了很多人的脚步。前端的加解密是比较常见的,无论是 we...
靶机实战(10):OSCP备考之谷安172.16.33.53
谷安靶机:172.16.33.53靶机官网:Tre: 1[1]实战思路:一、主机发现二、端口发现(服务、组件、版本)三、漏洞发现(获取权限)8082端口/HTTP服务组件漏洞URL漏洞(目录、文件)8...
对某供应商网站安全测试及峰回路转
前言有次在路上看到修地铁围栏上贴的一个投诉的二维码,用手机扫描,发现是一个XX视频监控系统。接着在系统底部发现某公司提供技术支持,故对他进行安全测试。信息收集打开搜索引擎:输入公司名称找到目标公司网站...
nacos到接管阿里云和百万数据泄露
&n...
【逻辑漏洞】任意账号密码重置
0x00 短信验证码回传 1、原理 通过手机找回密码,响应包中包含短信验证码 2、案例 某网站选择用手机找回密码: 点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示: 3、修复建议 响应包...
【通用/事件-第1期】弱口令2.0时代-小程序后台通用弱口令
通用/事件态势感知弱口令2.0态势:小程序后台批量弱口令后漏洞感知-第1期-小程序弱口令通用今天我们欢聚,为未来喝彩!网络安全路上的跳板,你我终将为网络安全尽绵薄之力! &nbs...
记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘
0X01 前言 在某次攻防演练,某家做儿童学习系统的公司 给的资产只有ip,ip上只有官网。无法获取到什么有用的信息。 末尾领取资料,资源 0X02 漏洞复现 发现目标单位存在一个微信小程序,从微信小...
21