一键关注! 来自公众号:先知社区 在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。 下面展开有趣的分析溯源过程。 0x01 信息收集 GIthub信息泄漏 根...
03月18日38 views评论shellcode
信息收集
黑客真实记一次实战溯源
03月18日38 views评论shellcode
信息收集
03月18日38 views评论shellcode
信息收集
记一次简单的EDU通杀挖掘
本文TUANOAN首发于奇安信安全社区0x00 前言之前一直在研究webpack的问题(有兴趣可以看我之前的两篇文章),最近感觉自己webapck已经大成,就看了看别的漏洞,在TOP10里我毫不犹豫的...
03月09日43 views评论admin
加密
记一次某授权站丝滑Getshell思路
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。信息收集首先拿到站点先进行访问可以看到这是一个后台管理平台,通过使用Chrome中的插件看一下此站点使用了...
03月09日63 views评论admin
后台
黑客实战:从app渗透到网站沦陷
分享一下今天对某app进行渗透测试,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来2. 使用工具对主域名进行敏...
03月08日26 views评论app
密码
教育园第三天之逻辑漏洞
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
03月05日66 views评论com
https
XXL-JOB漏洞汇总
简介XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。后台弱口令路径http://127.0.0.1:808...
03月05日2,349 views评论http
shell
记一次小黄站渗透过程,实操!!
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。0x01 前言记录某一次无意点开的一个小网站的渗透过程...
03月05日206 views评论admin
payload
业务逻辑漏洞-越权
文章来源 | MS08067 Web零基础1期作业本文作者:54188(Web零基础1期学员)越权漏洞复现一、前言越权的原理由于没有对用户权限进行严格的判断,导致低权限的账号(比如==普通用...
03月03日25 views评论admin
用户
另辟蹊径:揭秘一款通过公开笔记中转通信的新型远控工具
概 述近期发现一款通过独特方式进行远程控制的工具,它通过公开笔记作为控制命令中转平台来隐匿远程控制行为,该工具不仅具有一定的免杀能力,在流量侧由于全程通过HTTPS协议进行通信,因此还具备一定的防检测...
02月25日24 views评论admin
命令
VMware Spring Security 身份认证绕过漏洞(CVE-2022-22978)
网安引领时代,弥天点亮未来 0x00写在前面本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍VMware Sprin...
02月24日107 views评论url
漏洞
两个0day漏洞挖掘案例
一.前言基本情况这是之前挖到的两个0day,都拿了CNVD的证书,厂商已修复,大概说下整体思路和挖掘过程挖掘过程绕过登陆(无效)-发现接口-JS审计-爆破接口-未授权访问-SQL注入二.打点收集1.失...
02月22日31 views评论admin
后台
高效的黑盒探测SQL注入
https://github.com/smxiazi/xia_sql先推崇一下这个burp插件,其思路和我手工探测SQL注入的原理非常一致。在这个遍地是waf,动不动封你ip的情况下,利用传统爬虫或者...
02月22日27 views评论id
sql注入