hvv期间要对各种系统和应用进行全面的安全检查。微信小程序现在用得那叫一个广泛,很多企业和机构都有自己的小程序,所以小程序的安全检测就成了我们工作里挺重要的一块。在之前的安全检测工作中,我们手动去分析...
从JS源码分析到任意用户登录
声明本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.前言此网站是某个众测的项目,主要漏洞还是通过前端源码分析到任意用户登...
红队新技术RemoteMonologue利用 DCOM 远程获取 NTLM 身份验证
随着微软加强对传统凭据窃取方法的管控,以及终端检测与响应(EDR)系统日趋成熟,红队开始转向创新的无文件攻击手法。最新披露的_RemoteMonologue_技术正是这一趋势的体现。安全研究员Andr...
实战|一次不一样的逻辑漏洞的挖掘
扫码领资料获黑客教程免费&进群随作者:天眼 原文地址:https://xz.aliyun.com/t/9189正常我们挖逻辑漏洞一般都是从越权开始挖起,但是一般这些越权的参数基本都做了加...
DIDCTF-2021第三届长安杯-检材一
前言因为今年一直在学应急和取证,偶然机会发现了DIDCTF-电子数据取证综合平台,决定把平台里的题目都做一遍,做的同时也记录一下。第一个是2021第三届长安杯,题目给的附件说实话没看懂,因为之前没有接...
面向JS漏洞挖掘
最近在研究怎么从JS中挖掘更多有用信息,以前在漏洞挖掘的时候没有对js进行细致的挖掘利用,在研究小程序调试解密的时候发现js文件中可获取信息的点、可挖掘漏洞的点还是很多的,花了一段时间积攒了一些漏洞场...
记一次从JS源码分析到任意用户登录
原文首发在:先知社区https://xz.aliyun.com/t/16955声明本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请...
【技术分享】微信小程序AppSecret秘钥利用方式
阅读须知本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。朋友们现在...
实战-关于KEY泄露API接口利用
原文链接:https://zone.huoxian.cn/d/2909-keyapi 作者:和0x1 前言最近做项目遇见的各个平台的Key泄露的比较多,正好总结一下关于API接口利用的内...
使用python+微信发送消息提醒
想对老家客运站的汽车票进行余票监控,想使用python+个人微信的方式,自动发送消息提醒。1.首先申请微信测试号https://mp.weixin.qq.com/debug/cgi-bin/sandb...
小程序Appid、AppSecret泄露漏洞总结
01漏洞1.1漏洞描述 AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证的重要参数,需要开发者妥善保管至后台服务器中,并严格保密,不向任何第三方等透露。小...
工具 | IP溯源分析-蓝队值守利器
工具介绍 在攻防演练期间,对于重保值守人员,某些客户要求对攻击IP都进行分析溯源,发现攻击IP的时候,需要针对攻击IP进行分析,如果有关键信息输出报告,针对该需求,产生了这个工具。 工具使用 1、程序...