一、查询本地主机信息 查看用户信息 获取主机上的用户信息 当前用户信息:whoami /user #查看当前用户信息whoami /priv ...
03月03日23 views评论信息收集
内网渗透
【内网渗透基础】一、信息收集
03月03日23 views评论信息收集
内网渗透
03月03日23 views评论信息收集
内网渗透
震惊!YAK-JWT靶场的通关方式竟然是...
打开jwt靶场是一个登录页面 尝试弱口令admin/admin成功登录。 通过抓包可以看到,整个登录过程主要是3个请求:第一个页面:https://127.0.0.1:8080/jwt/...
02月14日11 views评论jwt
profile
HeapDump【敏感信息提取工具】
近期在搞安全演练,每天可忙得晕头转向。总是要对各种使用 Spring 框架的 Java 应用程序进行安全审计,检查它们是否存在信息泄露这类安全隐患。这时候,发现 Spring 框架的 Java 应用程...
02月11日124 views评论rce
敏感信息
记一次水平越权漏洞的利用
本文记录了一次水平越权的全过程,大致发生了如下:修改post参数,导致越权查看和删除;修改路径(REST风格参数),导致越权修改;修改cookie字段,绕过登录实现未授权访问;越权编辑植入xssPay...
01月13日41 views评论xss
用户信息
证书站小程序猜测接口获取大量敏感信息
本文由掌控安全学院 - gbh12300 投稿 由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序 img 使用自己手机号登录进入,点...
12月20日21 views评论敏感信息
用户信息
组合拳从0-1 Getshell过程
组合拳从0-1 Getshell过程 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入...
12月17日7 views评论getshell
未授权
Shiro框架漏洞看了你就会了(含靶场复现)
一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成...
12月17日226 views评论aes
shiro
Linux应急处置/漏洞检测工具,支持恶意文件/内核Rootkit/SSH/Webshell/挖矿进程等13类70+项检查
01工具介绍Linux应急处置/信息搜集/漏洞检测工具,支持基础配置/网络流量/任务计划/环境变量/用户信息/Services/bash/恶意文件/内核Rootkit/SSH/Websh...
12月11日安全工具27 views评论rootkit
恶意文件
渗透实战|组合拳从0-1 Getshell过程
unsetunset前言unsetunset 在一次渗透项目中遇到的一个比较典型的案例,通过sql注入、未授权、任意文件上传组合拳最终getshell,过程也比较有意思,因此记录了下来。在写该文章时,...
12月11日11 views评论sqlmap
未授权
组合拳从0-1 Getshell过程
前言 在一次渗透项目中遇到的一个比较典型的案例,通过sql注入、未授权、任意文件上传组合拳最终getshell,过程也比较有意思,因此记录了下来。在写该文章时,所有漏洞均已提交归属单位并...
12月10日13 views评论sqlmap
未授权
记一次认证绕过接管平台
本文由掌控安全学院 - 1708qq_com 投稿 参数置空获取平台用户信息 (1)每次看到这种干净整洁的注册页面,就感觉要出货了,主要是页面看着太舒服了 (2)注册账号进入平台,进行功能点测试 ...
12月03日15 views评论账号
账号密码
通过手机号获取whatsapp用户信息
通过电话号码获取 Whatsapp 个人资料信息,利用一个在线站点就能很方便做到,https://whatsapp.checkleaked.cc/,不需要登录,通过手机号码查询用户ID、个人签名、邮箱...
11月27日9 views评论whatsapp
用户信息
11