站点 | CN-SEC 中文网

安全文章

[HTB] Trick Writeup

概述（Overview） HOST: 10.10.11.166 OS: LINUX 发布时间: 2022-06-19 完成时间: 2022-06-23 机器作者: Geiseric[1] 困难程度:...

10月10日14 views评论

阅读全文

安全文章

渗透测试实战 | 代码审计攻破目标站点

一、事件起因在一个风和日丽的夜晚，我收到一位朋友的请求，希望我协助检查一个特定的站点。为了表达谢意，他还特意为我准备了第二天晚上的早饭。抱着对美食的期待，我开始着手调查这个站点的问题。二、渗透过程...

08月27日15 views评论

阅读全文

安全工具

fastjson漏洞批量检测工具

JsonExp 简介版本：1.3.5 1. 根据现有payload，检测目标是否存在fastjson或jackson漏洞（工具仅用于检测漏洞）2. 若存在漏洞，可根据对应payload进行后渗透利用...

08月22日70 views评论

阅读全文

安全文章

某系统超级管理员密码重置通用型

本文由掌控安全学院 - 腾风起投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）故事的起因是意外发现某站点系统存在接口泄露，并且此接口可直接实现超...

08月09日42 views评论

阅读全文

安全文章

瑞数WAF保护站点的渗透测试

---------------------------------------------------------------------- 在一次测试项目中碰到一个站点很奇怪，每次请求的时候在url...

08月07日58 views评论

阅读全文

安全文章

记一次证书站有趣的SQL注入

本文由掌控安全学院 - kpc 投稿一、确定站点按照以前文章中提到的寻找可进站测试的思路，找到了某证书站的一处站点，通告栏中写明了初始密码的结构，因此我们可通过信息搜集进入该站点(可以考虑去...

07月26日24 views评论

阅读全文

安全文章

记一次带授权的非法股票站点渗透

前言前言：本次渗透测试已经过公安授权并已将所有渗透数据上交。此渗透分享为学习交流使用。注：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。 0✖️01 信...

07月05日37 views评论

阅读全文

安全新闻

新的广域网安卓恶意软件隐藏在黑客网站后面

有安全研究人员在至少两家非官方的应用程序商店中发现了一种名为"Wpeper"的新安卓后门恶意软件，这是一家模仿上端应用程序商店的非官方应用程序商店。 WPEP的突出之处在于它新的使用，即它受损害的语言...

05月27日20 views评论

阅读全文

安全文章

SSRF骚思路

0x01 前言 SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞原因是由于服务端提供了从其他服务器应用获...

05月27日14 views评论

阅读全文

安全文章

SRC实战从默认页面到通用漏洞

01 概述某个摸鱼的日子里，想起好久没挖洞了，启动fofa，找到一个nginx默认页面，一看就没洞，放弃： 02 正文 dirsearch启动跑跑目录，果然有收获，还是类似于默认页面的目录：通过o...

05月25日57 views评论

阅读全文

ATT&CK - 枚举客户端配置

枚举客户端配置客户端配置信息（如操作系统和 web 浏览器）以及其他信息（如版本或语言）通常作为 web 浏览通信的一部分进行传输。这可以通过多种方式来实现，包括使用被攻击的 web 站点来收集访问...

04月15日ATTACK10 views评论

阅读全文

安全文章

网络安全-CDN绕过小结

CDN原理CDN全程内容分发服务，本质上是为了给不同地区的用户提供加速访问服务，就近选取节点，但是由于他所提供服务的性质，CDN也可以用来减少服务器压力，隐藏真实ip我们想要获取到服务器的真实ip，就...

03月04日22 views评论

阅读全文

[HTB] Trick Writeup

渗透测试实战 | 代码审计攻破目标站点

fastjson漏洞批量检测工具

某系统超级管理员密码重置通用型

瑞数WAF保护站点的渗透测试

记一次证书站有趣的SQL注入

记一次带授权的非法股票站点渗透

新的广域网安卓恶意软件隐藏在黑客网站后面

SSRF骚思路

SRC实战从默认页面到通用漏洞

ATT&CK - 枚举客户端配置

网络安全-CDN绕过小结

在线咨询

微信