No.0前言美国五星上将麦克阿瑟这样说“渗透测试最为重要的内容是起点的信息搜集”No.1通过信息泄露爆破账号进入后台通过信息泄露完成对员工账号的收集随意输入账号密码后,用burp抓包发现大量信息泄露就...
记一次从Git原码泄露到Get到目标服务器root权限
0x01前言 测试的时候可以多输入.git、config.js、robot.txt等看看有没有信息泄露。 开局一个git泄露 https://a.com/.git/ 姑且称它为A域名吧。 没多少文件。...
网*接口Account and password leakage
一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用...
【1day】Tenda账号密码泄露之2个POC
师傅们,HW结束后,最近发先有好多day流出,慢慢的正在促进整个网络安全环境的改变,让网络安全成为生活中随处可见的一种科学技术,也让更多的人们认识到信息...
【nday】某个oa账号接口密码泄露
因为今天看见别人发了一个,然后我也想起来前段时间看的一个账号密码泄露的漏洞。以下均来自互联网。(注:本文章为技术分享,禁止任何非授权攻击行为)poc/defaultroot/evoInterfaceS...
【1day】某神authManageSet.cgi接口泄露账号密码
师傅们,我来水一篇文章,最近出了某神的authManageSet.cgi接口泄露账号密码,直接构造特定的数据包可直接发现账号密码。一.资产fofa语法:body="sec_...
小程序、公众号、飞书、钉钉secert泄露后利用工具
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
求职APP遭遇撞库攻击,30余万个注册账号被成功匹配
近日,北京有一家互联网公司的求职APP遭遇撞库攻击,其短信验证码接口遭受攻击达1300余万次,最终该黑客攻击成功匹配了30余万个注册账号。经过警方调查,一个集编写恶意程序、实施撞库攻击、泄露数据资料为...
手机被植入了病毒,银行APP也显示切换用户
前几天一个大哥找我咨询,说跟之前的合作伙伴发生了矛盾,后来怀疑他的手机被监控了,问了几个问题:大哥问:我的银行APP显示切换用户,对方是不是利用短信劫持了我的短信,登录了我的银行app。我答:显示切换...
ATT&CK实战系列—红队实战-3
0、靶场介绍 ATT&CK实战系列—红队实战(三)是红日安全团队出品的一个实战环境,该靶场模拟真实环境,是个黑盒测试,不提供虚拟机密码。目标是域控中存在一份重要文件。拓扑图如下: 靶场配置如下...
Nessus安装保姆级教程
免责声明:涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担! Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工...
edusrc系列(九):证书站的挖掘
0x00 前言 以下漏洞均已经上报edusrc平台,并且已经修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号及本人无关。 0x01 描述 无聊水群过程中,看见有新的证书上线了。...
21