fofa:((title="学校" || title="高中" || title="中学" || title="中等专业学校") && country="CN") &&...
挖洞新人必看&漏洞盒子公益SRC月榜上榜小技巧&上榜思路
对很多刚开始挖洞的小伙伴来说,漏洞盒子公益SRC绝对是一个不错的选择。盒子每个月都会按照白帽子师傅提交所获得的漏洞积分做一个排名,列表展示前五十位的师傅,这也就是盒子月榜。可能很多牛逼的师傅会觉得这个...
Firefly平台SRC资产信息收集功能正式开放
前言Firefly是一个集资产管理、信息收集和漏洞扫描的综合平台,目前主要用于日常的自动化挖洞。之前有说会逐步开放其中的部分功能,现在正式对外开放第一版,主要开放功能为针对SRC资产的子域名收集和网站...
不一样的CSRF
前言在网络安全从业者中,相信都免不了学习OWASP TOP10漏洞进行入门学习,从而真正开始认识网络安全。在TOP10中,CSRF虽然最容易挖掘,但是因为其需要用户点击交互才会触发,又随着安全知识的普...
【很深情的奇技淫巧】捡个src中危漏洞
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
【企业SRC篇】教你如何在大佬的手底下捡漏(一)
前言通常来说,企业 SRC 一个也挖不到不完全是你的原因有可能是你没看这个?《阿里云业务漏洞标准v2.0》https://security.alibaba.com/announcement/annou...
一款自动化 SRC 、渗透、打点工具
项目地址https://github.com/binganao/FlowFlow 是一款基于 Docker 搭建的自动化 SRC 工作流,目前它包含了 nuclei、subfinder、naabu、h...
Python原型链污染变体(prototype-pollution-in-python)
简介 前些时间看了idekctf 2022*的task manager,出题人参考了另一位博主Python原型链污染变体的博文,于是打算写一篇文章简单学习下这种攻击方式和题目中的一些解题技巧等内容等 ...
红队攻防系列之花式鱼竿钓鱼篇
0x0 前言 钓鱼的核心主要还是思路要骚。本文主要从一个完整的钓鱼流程进行讲解,记录下自己在学习这方面的知识时,如何将其有机结合起来,实现一个蓝队无感的钓鱼攻击流程,真正体验下如何从细节入手,将最危...
cobaltstrike 二开系列(一)
CS 二开系列文章更新CobaltStrike二开环境前言我们使用CobaltStrike的时候,进行性的需要进行二次开发,使其对应的功能更加丰富,更加方便我们团队联合进行渗透的稳定性和隐蔽性。反编译...
赏金猎人|挖SRC漏洞的技巧
一、漏洞挖掘的前期–信息收集虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些...
某钓鱼网站getshell
在闲逛论坛发现一个钓鱼网站Xxxx.com/1.php 页面这么LOW一看就是和我一样的菜鸟弄的,开始搞起(#^.^#)下意识输入/admin,没想到蹦出一个后台页面,不需要登录,不是钓鱼页...
26