随着成千上万威胁组织试图扬名立万,每天都有新组织雨后春笋般涌现,为新黑客组织取名俨然成了技术活。这或许能解释市面上那些拼写错误频出、千奇百怪的威胁组织名称。聚焦2025年仍活跃的、经暗网研究团队调查的...
EDUSRC某大学奇奇怪怪的敏感信息泄露+奇奇怪怪的成功登陆
关于这个信息泄露我觉得很鸡肋,因为原本就是一个登陆页面,我发现网站不拦截,就开始爆破,看来一下后台的返回包,就看到一个test用户名返回包长度不一样,我当时以为进后台了,但是自己使用te...
一些奇奇怪怪的任意文件读取
直接进行跨目录读取的存在点通过编码xxe实现任意文件读取在保存数据的时候,发现向服务器发送了如下请求请求格式类似于base64,尝试解码,发现的确是base64。解码后的数据是一个 XML,如下图所示...
关于某银行众测奇奇怪怪的的越权
细微之处藏漏洞 字句皆有法谨慎行事保安然某众测终于是打完款了,想着应该也修复了,拿出来分享个洞。首先是一个普通的页面:里面有很多公告文件,但是这些文件需要输入密码才能查看,并且我估计是需要不同的权限查...
代审实战|奇奇怪怪的那些事
1、这套代码老早之前的了,没有拿到最新的,闲暇期间再拿起来看看这边不多说,这里一个文件上传。但是这套系统是springboot的,所以一开始并没有注意这个点。springboot不解析jsp是...
工作组环境下的内网渗透:一些基础打法
好几次的情况下,打下了办公机,和服务器内网不同的是,办公网中,除了极少数的用户机器会有运行一切奇奇怪怪的服务,包括但不限于 EveryThink(那个搜索程序叫啥我忘了),向日葵啊,或者各种奇奇怪怪一...