绝对路径 | CN-SEC 中文网

安全文章

ATT&CK实战系列-红队实战（一）

地址http://vulnstack.qiyuanxuetang.net/vuln/detail/2/环境下载下载靶场环境，并导入虚拟机分别是win2003、win7、winserver2008配置网...

02月17日12 views评论

阅读全文

安全文章

渗透测试-Weblogic上传shell路径

前言有时候拿到weblogic能命令执行，但是目标不能出网，不方便直接上线，这时就需要上个webshell来辅助后续的渗透但是weblogic的web路径可能和常规的web系统不一样，不清楚的时候可能...

02月15日9 views评论

阅读全文

安全文章

MSSQL注入之无回显利用思路

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

02月15日10 views评论

阅读全文

安全文章

渗透笔记——phpmyadmin getshell

1，日志写入前提1，phpmyadmin利用日志文件getshell，该账号需要有读、写权限2，mysql版本>5.0 会创建日志文件，通过修改日志文件的全局变量来getshell3，知道网站...

01月17日16 views评论

阅读全文

安全文章

从SRC漏洞挖掘到红队综合利用的思路转变

红队第一期的培训已经结束，跟学员了解到一些情况，做渗透测试、挖SRC都能频频出漏洞，但并不了解如何去将漏洞深入的综合利用。在日常的渗透测试与漏洞挖掘过程中，安全研究人员往往会尽量做到点到为止，仅仅证明...

12月28日9 views评论

阅读全文

安全文章

记一次简单渗透到GETshell

首先声明：此站点漏洞已提交，未经授权的渗透都是违法行为！首先声明：此站点漏洞已提交，所有未授权渗透都是违法行为！OK，那我们开始吧通过谷歌语法搜索inurl:admin/login.php 公司，本来...

12月20日6 views评论

阅读全文

文件包含伪协议总结备忘录

0x00 文件包含漏洞漏洞参数原因：源码采用include危险函数，传入对象参数由用户输入控制，可访问上传的包含文件页面。漏洞利用前提：知道包含文件解析的绝对路径，可访问绝对路径页面常见的为协议分...

12月17日安全文章7 views评论

阅读全文

安全漏洞

灵当CRM某接口存在文件读取漏洞

01 漏洞描述灵当CRM某接口存在文件读取漏洞，泄漏敏感信息。 02 资产测绘 Fofa语法：app="灵当CRM企业版-客户关系管理专家" 03 漏洞复现 04 修复建议临时缓解方...

12月10日19 views评论

阅读全文

安全闲碎

Linux 进程隐藏：初级隐藏篇

/ Linux 进程隐藏：初级隐藏篇 / 前言Linux 下查看进程信息的途径通常有以下几种方式途径说明top、ps 等命令通过 ps 及 top 命令查看进程信息时，只能查到...

11月11日13 views评论

阅读全文

安全工具

Segugio：一款针对恶意软件的进程执行跟踪与安全分析工具

关于Segugio Segugio是一款功能强大的恶意软件安全分析工具，该工具允许我们轻松分析恶意软件执行的关键步骤，并对其进行跟踪分析和安全审计。 Segugio允许执行和跟踪恶意软件感染过程中的关...

10月28日22 views评论

阅读全文

HW&HVV

HW实战 | 某次越权到文件上传

0x01 信息收集到越权在进行信息搜集的时候发现存在某站通过账户破解test01/123456 进入后台登进去后台基本没有什么功能在点其他功能的一瞬间会发现出现一个短暂的校督导功能（也出来了一...

08月30日49 views评论

阅读全文

安全文章

任意文件读取rce

1.跨目录上传对某系统进行测试时，发现有一处上传附件的功能，常规上传个文件试试发现返回包返回了重命名后的文件名称和系统的绝对路径继续看上传的文件只有一个预览的功能，访问直接下载该文件，并没有什...

07月30日23 views评论

阅读全文

ATT&CK实战系列-红队实战（一）

渗透测试-Weblogic上传shell路径

MSSQL注入之无回显利用思路

渗透笔记——phpmyadmin getshell

从SRC漏洞挖掘到红队综合利用的思路转变

记一次简单渗透到GETshell

文件包含伪协议总结备忘录

灵当CRM某接口存在文件读取漏洞

Linux 进程隐藏：初级隐藏篇

Segugio：一款针对恶意软件的进程执行跟踪与安全分析工具

HW实战 | 某次越权到文件上传

任意文件读取rce

在线咨询

微信