声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
Hypervisor From Scratch - 基本概念和配置测试环境、进入 VMX 操作
一基本概念和配置测试环境1.1.介绍欢迎来到名为“ Hypervisor From Scratch”的多部分系列教程的第一部分。顾名思义,本课程包含创建基于硬件虚拟化的基本虚拟机的技术细节。如果您遵循...
干货 | 实战导向的内网渗透-目的拿到源码
前言本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。首先定位目标公司的资产,使用fofa检索:根据资产对应的指纹,使用一些扫描工具扫一扫:以及新近出来的exp...
五千块-某金融赏金SRC漏洞案例
前言近年来,金融SRC一直是小伙伴们觉得难啃的骨头,由于防护设备比较健全,不能直接使用xray、goby等工具进行梭哈,但是SRC的预算还是每年都在增长的,我们总不能让甲方爸爸花不出去钱把,今天分享一...
src漏洞挖掘常用插件
Autorize是一款用于Web应用程序渗透测试的插件,主要用于检测授权漏洞。以下是Autorize的使用教程,帮助你了解如何配置和使用该插件:安装与配置:首先,你需要确保你的测试环境中已经安装了Au...
Tomcat 8.0后台弱口令登录及Webshell获取
1.1漏洞测试环境及搭建 1.漏洞环境版本 Tomcat版本:8.0 2.环境搭建 (1)漏洞目录 /opt/vulhub/tomcat/tomcat8 (2)docker-compos...
SDL实践之安全验证
在软件开发生命周期(SDLC)的测试或验证阶段,不同的企业因为团队或者业务模式的区别而选择不同的做法和设计,单一的安全验证流程并无法满足所有的测试场景或验证场景。比如,有的企业会有测试环境、预生产环境...
一篇文章学会csrf
本篇文章我们将详细的介绍一下CSRF的相关知识,包括原理、分类、攻击手法、修复方法等。注意测试尽量在测试环境进行,生产环境最好知道自己该干什么不该干什么!!!注意测试尽量在测试环境进行,生产环境最好知...
某次以目的为导向的内网渗透-取开发源码
本次任务是某地区软件开发公司所开发的产品,最好是能拿到源码,或者开发、测试环境的访问凭证。 首先定位目标公司的资产,使用 fofa 检索: 根据资产对应的指纹,使用一些扫描工具扫一扫: 以及新近出来的...
(一)使用VMworkstation安装ESXI7.0主机实例
1、打开VM workstation软件,点击创建新的虚拟机,选择自定义(高级),点击下一步;2、硬件兼容性选择ESXI 7.0,点击下一步;3、选择安装客户机操作系统,ESXI 7.0,点击下一步;...
某次目的为导向的内网渗透-取开发源码
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
漏洞批量扫描框架-oFx
简介一个应用于web安全领域的漏洞批量扫描框架,可被应用于但不限于如下场景:0Day/1Day全网概念验证(在没有测试环境(各种商业、闭源软件)或懒得搭建测试环境的情况下,直接写POC全网扫描,亲测很...