工号 | CN-SEC 中文网

安全文章

记某项目上的一次getshell

0x01 信息收集 1.通过目录扫描，和js审计发现该站点只存在登陆和忘记密码功能 img 0x02 弱密码爆破（无成果） 1.先手动测试了几个，发现提示都是用户密码错误，那么就不能根据账户去爆破密码...

02月05日27 views评论

阅读全文

HW&HVV

攻防演练合集篇

前言前段时间发了关于某银行的渗透文章，第二天被网信办风控下架了，请大家多多海涵、理解。这个月金融的项目做的多，鉴于保密问题就暂时不发出来了。同时因为接近一个月没发自己推文了，心里实属惭愧。知道大家伙...

08月04日53 views评论

阅读全文

安全文章

某高校从互联网到内网

某次 HW 目标在信息收集时发现该高校教育教育教学督导与评价系统存在密码信息泄露还有这么简单的事情？这就进去了？很明显这是个若依的系统，尝试直接通过定时任务上线，发现被拦截了，只能另辟蹊径了进去以后发...

05月15日19 views评论

阅读全文

安全文章

攻防演练-某高校从互联网到内网

信息收集-统一认证-VPN-内网-一把梭 1► 信息搜集在信息收集时发现该高校教育教育教学督导与评价系统存在密码信息泄露还有这么简单的事情？这就进去了？很明显这是个若依的系统，尝试直接通过定时任...

05月15日7 views评论

阅读全文

安全文章

实战-edusrc漏洞挖掘-接口未授权访问

本文由掌控安全学院 - blueaurora 投稿 0x01系统初探通过fofa对大学进行搜索 fofa:host="edu.cn" && status_code="...

08月26日66 views评论

阅读全文

安全工具

一款面向企业的渗透测试字典生成工具

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

02月18日90 views评论

阅读全文

安全文章

实战|记一次跨越一年后的某集团渗透

前言这是一个跨越一年的渗透测试，这里说的跨越一年不是用时一年，而是已经过了一年多，我再次对该集团进行渗透测试，而这次渗透的过程中发现该集团增加了不少资产，这也是它成为目标的原因。第一次的话...

11月26日51 views评论

阅读全文

安全文章

web 漏洞入门之 —— SQL 注入教程

SQL 注入是最常见、最被人们熟知的 web 漏洞。根据百科的解释：所谓SQL注入，就是通过把SQL命令，插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。...

11月03日489 views评论

阅读全文

安全文章

记一次常规的XX智慧校园系统测试

正文第一步，拿到网址，查看一些基本的业务点漏洞url： https://xxx.edu.cn/cas/login点击上方的更换手机号输入这个老师的工号（随缘老师别怪我）005567想更换手...

07月20日82 views评论

阅读全文

安全文章

漏洞挖掘｜一次“平淡”的漏洞挖掘.docx

本文由团队大佬miniboom记录编写，希望大家能有所收获～0x01 任意用户登录和提权管理员权限首先打开页面是这样子的： &nb...

03月22日128 views评论

阅读全文

记某项目上的一次getshell

攻防演练合集篇

某高校从互联网到内网

攻防演练-某高校从互联网到内网

实战-edusrc漏洞挖掘-接口未授权访问

一款面向企业的渗透测试字典生成工具

实战|记一次跨越一年后的某集团渗透

web 漏洞入门之 —— SQL 注入教程

记一次常规的XX智慧校园系统测试

漏洞挖掘｜一次“平淡”的漏洞挖掘.docx

在线咨询

微信