前言 我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校缩写的英文字母。所以我们在找漏洞的时候可以换一种思路,先通过去找身份证信息或者是有...
01月16日77 views评论账号
身份证号
从信息泄露登录统一平台
01月16日77 views评论账号
身份证号
01月16日77 views评论账号
身份证号
【攻防实战】地市红队攻防演练经验总结
在过去2023的日子里,参加了某个地市的攻防,因此,想写下该文章总结下经验 免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,作者不为此承担任何责任,一旦造成后果请自行...
01月15日54 views【攻防实战】地市红队攻防演练经验总结已关闭评论密码
系统
SRC实战 | EDU通用漏洞分享
本文由掌控安全学院 - 叴龙 投稿 又是没事干的一天,写一下之前挖的两个通用漏洞。 1.信息搜集 首先就是信息搜集,挖edu没账号怎么办呢?sg不行,咱就找能自己注册的站。 Hunter:web.ti...
01月09日49 views评论sql注入
未授权
【漏洞挖掘】任意用户密码修改漏洞
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公...
01月08日29 views评论漏洞挖掘
账号
从Src到企业内网
No.0前言美国五星上将麦克阿瑟这样说“渗透测试最为重要的内容是起点的信息搜集”No.1通过信息泄露爆破账号进入后台通过信息泄露完成对员工账号的收集随意输入账号密码后,用burp抓包发现大量信息泄露就...
01月03日34 views评论信息泄露
后台
实战渗透BC从XSS到上线
文章正文 前言 最近闲来无事,好久也没实战了,直接找BC开刀,最后全靠XSS上线。 信息搜集 首页如下,我随手输入一个admin 123456,果然没有奇迹发生 点击忘记密码,输入admin...
12月21日68 views评论xss
页面
实用的业务逻辑漏洞
本文由掌控安全学院 - 杰斯 投稿 业务逻辑漏洞 1.暴力破解测试 2.Session 会话固定测试 3.Seesion 会话注销测试 4.Seesion 会话超时时间测试 5.Cookie 仿冒测试...
12月21日48 views评论密码
账号
红队攻防实战之DOUBLETROUBLE
渗透过程1 端口扫描 可以看到开放了22和80端口 网站目录扫描 首先对网站的特殊文件进行扫描。 然后对网站目录进行扫描。 图片隐写数据提取 依次点击扫描出来的文件,这个网站的主页是一个登录界面,但是...
12月19日19 views评论密码
账号
【微信取证篇】取证遇到微信昵称、微信号、微信账号、微信ID一次性区分清楚(更新)
个人见解,他们的主要区别于"看得见、看不见"之间---【蘇小沐】 0 目录 1.实验环境(一)微信账号(ID)"永久唯一性" (二)微信号"短期唯一性" 1、微信号设置规则 2、微信名可改版本 3、修...
12月19日187 views评论id
账号
【Web渗透】暴力破解漏洞
“暴力破解”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有...
12月19日安全百科62 views评论暴力破解
账号
加解密成功后的app捡洞经过
No.0 前言 学习了app最近再挖src,比较下来确实app的Src更好挖一些,只要解决了抓包解密的问题,挖洞思路和web没两样。 No.1 记录一下第一次加解密 首先介绍一下要解密的参数 就是这个...
12月18日39 views评论解密
账号
【漏洞复现】X神防火墙用户登录账号泄露漏洞
声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文...
12月16日43 views评论漏洞复现
防火墙
36