管理员 | CN-SEC 中文网

未分类

记一次Node.js站点渗透

前言遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限信息搜集先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等这个站...

06月09日52 views评论

阅读全文

安全文章

【渗透测试】反方向的RCE

0x01 你以为RCE后就完了吗很多时候有小伙伴在getshell以后就不知道要干嘛了，在渗透测试中，getshell只是第一步，本文来自团队内部成员...

03月08日50 views评论

阅读全文

安全文章

【红蓝对抗】某门户系统授权渗透测试

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！前言目标系统使用SiteServ...

03月08日103 views评论

阅读全文

安全文章

从偶遇Flarum开始的RCE之旅

事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程，请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任一次日常测试中，偶然遇到了一个Flarum搭建的论坛，并获...

03月07日53 views评论

阅读全文

安全文章

记录一次渗透测试实战

0x00 前言昨天晚上，下班回到家正闲得没事做的时候，突然想起来之前和扣扣群里的群友玩游戏的时候群友搭了一个语音服务器，于是好奇心和职业病指引我去那个域名看看是啥网站，于是有了这一次的渗透之旅&nbs...

02月24日48 views评论

阅读全文

安全文章

Harbor历史漏洞分析

今年多写文章，先把去年的清理一下HarborHarbor是VMware公司开源的企业级Docker Registry项目，用来帮助用户迅速搭建一个企业级的Docker Registry服务。它以Doc...

02月19日851 views评论

阅读全文

安全文章

各厂商防火墙初始登录IP及密码信息

口令在渗透测试过程中，最常见的情况就是遇到弱口令得到入口从而攻陷整个系统，由于很多系统管理员缺少安全意识，口令往往是系统默认设置的口令。本文总结了常见的系统默认口令以及默认口令在线查询网站。一、O...

02月13日869 views评论

阅读全文

安全新闻

研究人员入侵了丰田供应商管理网络

安全研究员Eaton Zveare利用丰田全球供应商准备信息管理系统（GSPIMS）中的一个漏洞，实现了对丰田全球供应商管理网络的系统管理员访问权限。GSPIMS 门户网站允许员工和供应商访问正在进行...

02月09日68 views评论

阅读全文

安全新闻

遭活跃利用的GoAnyWhere MFT 0day 补丁发布

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士最近爆出的GoAnyWhere 管理文件传输 (MFT) 软件的0day 补丁已发布。大约一周前有新闻报道称该漏洞已遭活跃利用，不过目前的...

02月09日70 views评论

阅读全文

安全新闻

全球勒索软件黑客攻击已将数千台计算机服务器作为目标

近日，VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。管理员、托管服务提供商和法国计算机紧急响应小组 (CERT-FR) 警告说，攻击者针对 VMw...

02月08日51 views评论

阅读全文

安全文章

常见的敏感文件泄漏总结

信安之路内部文库第 138 篇文章，欢迎注册学习敏感文件通常指携带敏感信息的文件，最为常见的就是数据库的配置文件、网站源码备份、数据库备份等，管理员为了方便下载，将源码备份放置在 ...

02月01日27 views评论

阅读全文

安全文章

登陆弱口令>>Fuzz技巧

今天心情很好，再来写一篇. 谈一些登陆弱口令fuzz的技巧，说不上很有技术，但挖了不少。选中的案例来源去年11月份，具体挖洞过程参考https://mp.weixin.qq.co...

01月26日82 views评论

阅读全文

记一次Node.js站点渗透

【渗透测试】反方向的RCE

【红蓝对抗】某门户系统授权渗透测试

从偶遇Flarum开始的RCE之旅

记录一次渗透测试实战

Harbor历史漏洞分析

各厂商防火墙初始登录IP及密码信息

研究人员入侵了丰田供应商管理网络

遭活跃利用的GoAnyWhere MFT 0day 补丁发布

全球勒索软件黑客攻击已将数千台计算机服务器作为目标

常见的敏感文件泄漏总结

登陆弱口令>>Fuzz技巧

在线咨询

微信