挖洞技巧 - 第 3 | CN-SEC 中文网

安全文章

对于某刷单网站点的一次简单渗透测试

1 前言介绍小地方有经常各短视频引流到微信，微信群进行刷单。其中不少是安装木马盯你屏幕指导操作去办贷款。然后贷款割一茬，刷单割一茬。打开网站界面是这样。 2 漏洞发现首先对域名ping得到一个...

09月22日12 views评论

阅读全文

安全文章

记一次某平台的任意密码重置漏洞挖掘|挖洞技巧

0x01 前言最近觉得需要打磨打磨挖src实战的能力，所以找了一个简单的站点耐心地尝试一个一个数据包去挖，总结出来最重要的一点就是耐心了，可以看到在前面一两天经历波折，耐心挖到后面几天才慢...

09月09日68 views评论

阅读全文

安全文章

对于某刷单网站点的一次简单渗透测试|挖洞技巧

0x01 前言小地方有经常各短视频引流到微信，微信群进行刷单。其中不少是安装木马盯你屏幕指导操作去办贷款。然后贷款割一茬，刷单割一茬。打开网站界面是这样。末尾可领取挖洞资料文件0x02...

09月02日36 views评论

阅读全文

安全文章

漏洞挖掘中信息收集的细节|挖洞技巧

0x01 前言一天，认真工作（摸鱼）中，接到群里领导发话，叫有空的人员搞一下站，作为热爱工作（摸鱼）的我，二话不说就泡好一杯茶开干。末尾可领取挖洞资料文件0x02 漏洞发现熟悉的味道，开局...

08月19日24 views评论

阅读全文

安全文章

一次简单的SRC漏洞挖掘|挖洞技巧

0x01 前言在一个无聊的下午，突然看到某家SRC发布翻倍活动，1.5倍金币，那就挖挖吧。末尾可领取挖洞资料文件0x02 漏洞发现挖掘的起因源于一个返回包。在一个网站的登录页面，我先是随便...

08月12日25 views评论

阅读全文

安全文章

安服挖洞日常暴力前台入侵测试|挖洞技巧

0x01 前言公司被安排下来任务了，前段时间被领导安排我们这一群安服崽测试某一地区如果被月球势力打下来会很没面子的站，直接广撒网，看到了一个柔柔弱弱的基础设施网站，遂使用一套脚本小子打法，...

08月05日15 views评论

阅读全文

安全文章

开局一个登录框通过审计JS挖掘到SQL注入|挖洞技巧

0x01 前言开局一个登录框，连个注册按钮和找回密码都没有，只能通过fuzz去发现有用的信息了。末尾可领取挖洞资料文件|HW漏洞威胁情报每日更新0x02 漏洞发现翻看前端代码，可怜的js文...

07月29日13 views评论

阅读全文

安全文章

记一次接口未授权+账号枚举+越权的漏洞挖掘过程

0x01 前言记一次某SRC漏洞挖掘过程一次接口未授权+账号枚举+越权的利用全过程，分享一下挖掘技巧工具。末尾可领取挖洞资料文件 0x02 漏洞发现打开测试的网站发现网站用到了we...

07月15日12 views评论

阅读全文

安全文章

文件上传绕过的一次思路总结GetShell

0x01 前言这是朋友的一个渗透测试的项目，有个上传的黑名单，跟我说可以试了一下，本文章是一边测试一边记录的，对于一些知识点总结的不全，只是提供了一个渗透中碰到上传的。末尾可领取挖洞...

07月08日14 views评论

阅读全文

安全漏洞

权限提升 | CVE-2024-30088 Windows内核提权漏洞

漏洞介绍该漏洞由越南安全研究员 Bùi Quang Hiếu（在网络圈中以@tykawaii98著称）详细介绍，它允许攻击者利用内核中的 SecurityAttributesList 直接操纵用户提...

06月29日35 views评论

阅读全文

安全文章

分享几个有趣的bypass挖洞案例|挖洞技巧

0x01 前言在我们挖洞或渗透的时候经常会遇到waf出现绕不过的情况，本文主要分享文件上传绕过、XSS绕过、符号绕过鉴权几个案例。末尾可领取资源文件0x02 文件上传绕过waf byp...

06月17日26 views评论

阅读全文

安全文章

记一次从列目录到GetShell的渗透

0x01 前言本文记录了在某次攻防演练项目中的经历，通过信息收集发现一个iis的站点，通过测试发现系统存在的安全隐患。末尾可领取资源文件 0x02 漏洞发现在一个备案域名下面的子域...

06月11日27 views评论

阅读全文

在线咨询

微信