0.前言由于都是发自己的文章,所以也不会有那么多的内容发布,一周可能也就更新个两篇,如果工作忙,可能一周就一篇,但是文章都会很细致,暂时只更新学习笔记,至于挖洞思路,小菜鸟还不配。0.1.免责声明传播...
Shiro 反序列化漏洞复现
1.漏洞描述Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。2.影响版本Apache Shiro <= 1....
连接不上mysql数据库相关问题
MySQL数据库是比较常用的一种数据库,在号主编写PHP网站时,遇到了一些与MySQL数据库相关的问题。第一:连接不上数据库,要先检查账号密码是否正确,如果不正确肯定是连接不上。第二:检查端口号是否被...
某次小红书帮助下的Edu SRC挖掘
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
记一次Edu挖掘记录
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦原文链接:https://xz.aliyun.com/t/14232平时不怎么爱挖src,因此除了...
TeamViewer在BypassAV中的妙用
这里直接拿360开刀,火绒安静归安静,杀毒能力还是比360差点的。 TV官方免安装版这是teamviewer官网下载页面: https://www.teamviewer.cn/cn/download/...
账号密码重置的六种方法
0x00 短信验证码回传1、原理 通过手机找回密码,响应包中包含短信验证码2、案例 某网站选择用手机找回密码:点击发送按钮,拦截回包,可以查看到短信验证码,如下图所示:3、修复建议响应包中去掉...
通用漏洞-CRLF注入+URL重定向+WEB拒绝服务
前置知识:1.CRLF注入漏洞是因为Web应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。攻击者一旦向请求行或首部中的字段注入恶意的CRLF,就能注入一些首部字段或报文主体,并在响应中输...
高级蜜罐
最近的某电企hw,踩了太多的蜜罐了。数不胜数,但是最高级的莫属这个。 资产收集到这个资产,发现很奇怪。 其他端口上有目录遍历。 很诱人,很想下。 备忘录写好了账号密码,等着我们。 好,那就打! 可是,...
内网渗透pass系列攻击(超详细篇)
内网渗透三种最常用的pass系列攻击:pass the hash (哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key (密钥传递攻击,简...
HW必备神器|DecryptTools综合解密工具 V2.0(内置20+OA系统加解密、110+设备默认账号密码等)
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平...
攻防实战 | nacos到接管阿里云&百万数据泄露
前言在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直...