前言红队最重要的就是前期打点,打点快得分快。尤其是弱口令,往往可以出奇制胜, admin/admin、admin/123456、admin/admin123这样的弱口令那是比比皆是,利用弱口令进后台,...
记一次联通光猫排查之旅
前言:今天晴,落枕。起床后刷完朋友圈,水了一下群。发现一个消息,就是电信光猫里有个插件。用于GA溯源使用的,一看到这消息,本能地望向了自己的联通光猫。1.联通光猫-web(HS8346V5)因为之前觉...
HW 必备|4000个厂商账号、密码
sangfor@2018sangfor@2019深信服科技 AD dlanrecover深信服负载均衡 AD 3.6 admin admin深信服 WAC ( WNS V2.6) admin admi...
已存在数十年的PostgreSQL漏洞影响多家云厂商,企业数据库遭暴露
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Wiz 研究公司在多个云厂商提供的热门“PostgreSQL即服务”中发现了多个漏洞。今年早些时候,Wiz公司从 PostgreSQL F...
服务器端请求伪造(SSRF)-规避常见的SSRF防御
在本节中,将描述一些常见的防止SSRF行为的措施,并介绍如何绕过这些防御机制。带有基于黑名单输入过滤的SSRF一些应用程序会阻止包含主机名(如127.0.0.1和localhost)或敏感URL(如/...
某次攻防演练中的分析溯源 | 情报
信息收集在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。下面展开有趣的分析溯源过程。GIthub信息泄漏根据甲方信息进行常规的Github敏感信息收集偶然发现一...
实战 | 某次攻防演练中的分析溯源
扫码领资料获黑客教程免费&进群随在某次攻防演练信息收集的过程中,偶然发现伪装Github信息泄漏进而钓鱼红队人员的后门。下面展开有趣的分析溯源过程。信息收集GIthub信息泄漏根据甲方信息进行...
记一次攻防演练中的有趣溯源分析
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
记一次简单的且不完全的从外到内的渗透测试实战
本文作者:ARanZN, 转载请注明来自FreeBuf.COM本文相关知识点SQlMAP --os-shell拿下webshell众所周知,--os-shell的使用条件较为苛刻,必须满足:...
BUUCTF: [极客大挑战 2019] EasySQL (简单的SQL注入)
BUUCTF: [极客大挑战 2019] EasySQL登录分析打开是一个链接,有登录表单看出是一道登录题,判断应该是SQL注入题目尝试用账户admin、密码123456登陆经典大法 :admin88...
【霄享·安全】Web漏洞之不容忽视的弱口令——2022年7月刊(总第29期)
看似不起眼的口令,在网络这个没有硝烟的战场上发挥着巨大的作用。弱口令的存在,无异于是在战场上对敌人“大开城门”,此时布置再多的防护设备也无济于事。01弱口令提起弱口令,大家一定都不陌生,脑海里可能会立...
靶场科普 | SQL注入之JSON注入
点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍SQL注入之JSON注入今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“SQL注入之JSON注入”。一、实验介绍1.漏洞...
34