前几天发现了一个专属的已授权网站存在逻辑漏洞,整个过程比较的奇幻,这里就分享给大家。 过程 前期排查和信息收集 在对该网站进行信息收集的时候,我发现了其中的后台登录点,便想着用弱口令看看可不可以直接登...
回顾在 GKCTF 中遇到的有趣的 CMS - WHOAMIBunny
前言 简单记一下在前段时间的 GKCTF X DASCTF 应急挑战杯中遇到的这个有趣的 CMS,题目不难,但是还蛮有趣的。 预期解 进入题目,是一个蝉知 CMS: 访问 admin.php 见到后台...
GoogleHacking手册
site:xx.xxx.cn filetype:xls 学号site:xx.xxx.cn xls 学号集域名和mail地址:搜集敏感文件:site:http://xxx.com filetype:do...
Babuk勒索软件源码泄露
Babuk勒索软件完整源代码在俄语黑客论坛公开。Babuk Locker是2021年初启动的勒索软件攻击活动,主要从企业窃取和加密数据。在成功攻击华盛顿警察局后,该勒索软件运营人员称已经暂停了其攻击活...
柳暗花明又一村的后台渗透 - lushun丶
相关漏洞已提交官方,并修复,请勿未授权进行渗透测试。 前言 打工人,打工魂,打工都是人上人。 好家伙一到工地,就来了一车砖.xls。话不多说咱开搬。 是某学院的站点 像这种官网主站都做得比较好了,我一...
文库|yunyeCMS漏洞合集
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全-柚子一、yunyeCMS前台注入漏洞(一)环境搭建云业CMS内容管理系统是由云业信息科技开发的一款专门用于中小企...
记一次群辉中勒索病毒后的应急响应【文末送书】
群晖是一种NAS(网络附属存储)系统,在生活中主要扮演个人私有云角色,可以将文件存储于 NAS,并通过网页浏览器或手机应用程序可实现存储和共享,同时还提供的丰富应用以方便管理应用。借助群晖提供的 Qu...
HackTheBox-Linux-Nibbles
一个每日分享渗透小技巧的公众号大家好,这里是 大余安全 的第 122 篇文章,本公众号会每日分享攻防渗透技术给大家。靶机地址:https://www.hackt...
弱口令,yyds
一些自己搜集的弱口令在渗透企业资产时,弱口令往往可达到出奇制胜,事半功倍的效果!特别是内网,那家伙,一个admin admin或者admin123 拿下一片,懂的都懂。当你还在苦恼如何下手时,我却悄悄...
2018高校网络信息安全管理运维挑战赛-Web题解
更多全球网络安全资讯尽在邑安全SimpleBBS随手登录一下发现报错,于是尝试admin' and (extractvalue(1,concat(0x7e,database())))#admin' a...
记一次梦境日bc 拿下 后台 数据库
0x00 锁定目标话不多说,开干 。根据指纹信息在批量资产中寻找网站源码0x01 代码审计针对bc我们的目标是数据,所以优先寻找sql注入。打开源码发现有360safe保护,那么没法绕过了嘛?阅读下保...
记一次艰难的非法网站渗透
这是F12sec的第61篇原创 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!ps:本文章投稿来自M78安全团队的花童师傅。花童yyds!!!1.前言首先要感谢mu...
34