注:本文是赏金漏洞挖掘学院一期学员-A_Snail师傅写的文章,感谢大家阅读 查看评分标准,收集资产 这次数据分给的比较高,所以重点是找数据 思路分析 0-nday攻击 内网横向 获取敏感数据 弱口令...
12小时前6 views评论id
小程序
实战攻防:记一次市级hw
12小时前6 views评论id
小程序
12小时前6 views评论id
小程序
攻防演练-实战中的外网突破
在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...1、供应链在经历了多年的...
04月23日3 views评论供应链
敏感信息
漏洞挖掘 | 某证书站Bypass sql
扫码领资料获网安教程本文由掌控安全学院 - 不是川北 投稿信息收集 edu证书站这么多年已经被各种大佬轮了不下几十遍了,所以各种思路也是被玩烂了。现在无非这几种方法:找账号进统一系统----->...
04月22日3 views评论bypass
漏洞挖掘
实战 | wx某小程序证书站绕过SQL注入
信息收集 edu证书站这么多年已经被各种大佬轮了不下几十遍了,所以各种思路也是被玩烂了。现在无非这几种方法:找账号进统一系统----->找各种洞子域名,ip旁站搞vpn账号打内网公众号小程序(也...
04月20日10 views评论asc
小程序
Proxifier+BurpSuite实现小程序抓包
小程序也是我们目前用的比较多的工具。而针对小程序的渗透测试也逐渐出现。本文为大家介绍如何利用Burp抓包。Proxifier 是一款代理客户端软件,可以让不支持代理服务器工作的程序变的可行。支持各种操...
04月20日8 views评论burp
burpsuite
实战 | 教育SRC漏洞挖掘获取rank以及证书获取(2)
在2023年3月份的时候写了一篇【教育src漏洞挖掘获取rank以及证书获取】的文章,主要是说了如何进行漏洞挖掘获取足够多的积分,时隔一年,这次说说怎么快速获取证书站的漏洞!守株待兔法将有证书学校的站...
04月20日1 views评论信息收集
漏洞挖掘
利用yakit进行小程序和app抓包
Proxifier 介绍Proxifier 是一款功能强大的网络代理工具,它可以让你将网络应用程序通过代理服务器进行连接。它提供了一个简单而灵活的方式,让你能够将任何应用程序的网络流量路由到指定的代理...
04月19日4 views评论小程序
模拟器
miniprogram-track : 用于小程序安全审计的工具包(反编译、调试、代码审计)
1► 工具介绍 Miniprogram track 是用于小程序安全审计的工具包。 2► 工具安装 npm install @miniprogram-track/cli -g 3► 工具...
04月19日4 views评论代码审计
小程序
小程序安全审计的工具包(反编译、调试、代码审计)(4月14日更新)
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
04月18日22 views评论代码审计
小程序
记一次小程序渗透并拿到后台管理员权限-漏洞挖掘
0x01 前言 在一次攻防演练打点过程中,前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。其次对URL进行指纹识别,虽然发现了几个存在指纹的系统,但后续渗透发现漏洞已无法利用,...
04月10日16 views评论小程序
漏洞挖掘
某银行的渗透测试
某银行的渗透测试3月末就接到这个项目了,但是中间拖拖拉拉,一直到最近几天,才有时间测试吧开工前期沟通:采用IP白名单+uat环境+客户提供账号进行渗透看了一眼提供的资产,存在公众号,小程序,APP。因...
04月03日23 views评论小程序
渗透测试
漏洞挖掘 | 某医院小程序支付漏洞+越权
扫码领资料获网安教程本文由掌控安全学院 - 葵先生 投稿某医院小程序存在支付漏洞和越权查看他人身份证,手机号,住址等信息一个医院线上的小程序登陆后点击个人信息,抓包,放到repQeter模块,修改st...
04月02日16 views评论小程序
漏洞挖掘