点击蓝字 关注我们简述: 关于信息收集这块不管是渗透测试还是漏洞挖掘版块,都是很重要的,也决定了你是否能够挖到漏洞这些或是找到一些边缘资产。一、根域名:A、爱企查/企查查:B、ICP备案:官网...
11月21日10 views评论信息收集
子域名
信息收集小总结~
11月21日10 views评论信息收集
子域名
11月21日10 views评论信息收集
子域名
【SRC】记一次信息收集实战分享
原文首发在:先知社区https://xz.aliyun.com/t/15944选择目标进入补天,选择一个目标信息收集ip使用nslookup xxx.xxx.com只有一个ip回显,没有开dns看一下...
10月28日16 views评论信息收集
子域名
记两次非常规文件上传Getshell
常规绕过前端和后端的任意文件上传已经没意思了,本文记录下之前和最近遇到的2个不太常规的任意文件上传Getshell的案例。 [ 路径穿越+文件上传Get Shell ] Nmap快速全端口扫描发现开放...
08月13日54 views评论webshell
文件上传
记两次非常规文件上传Getshell
常规绕过前端和后端的任意文件上传已经没意思了,本文记录下之前和最近遇到的2个不太常规的任意文件上传Getshell的案例。 [ 路径穿越+文件上传Get Shell ] Nmap快速全端口扫描发现开放...
08月12日64 views评论webshell
文件上传
实战-后台多处对文件上传的WAF绕过
🌟 ❤️作者:yueji0j1anke首发于公号:剑客古月的安全屋字数:1185阅读时间: 5min声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者...
06月07日46 views评论文件上传
绕waf
隐秘的DarkGate木马滥用 AutoHotkey,逃避 Defender
迈克菲实验室最近公布了一种名为 DarkGate 的复杂网络威胁,该威胁使用先进的策略来利用 AutoHotkey 实用程序并逃避 Microsoft Defender SmartScreen。这一发...
05月01日41 views评论dark
defender
实战渗透|记一次抽丝剥茧式的渗透测试
免责声明由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK安全公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并...
10月08日48 views评论敏感信息
渗透测试
记一次任意文件读取漏洞的深入利用
某项目测试发现一个任意文件读取,当时没有深入利用,直接提交了,后续通知复测时发现可以进行绕过,刚好时间也充足,于是就多了一次任意文件读取深入利用的记录第一次可以直接利用修复后发现可以使用关键字uplo...
10月07日54 views评论任意文件读取
任意文件读取漏洞
实战 | 抽丝剥茧式的从信息泄露到log4j2 RCE
前言网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。本文以...
09月11日36 views评论rce
敏感信息
渗透|记一次抽丝剥茧式的渗透测试
网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。本文以一次...
09月11日17 views评论敏感信息
渗透测试
记一次抽丝剥茧式的渗透测试
免费&进群网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带...
09月10日26 views评论敏感信息
渗透测试
【技术分享】中东污水MuddyWater组织样本分析
概 述MuddyWater又称污水,是疑似来源于伊朗的APT组织,主要针对中东地区。该APT组织比较善于利用powershell等脚本后门内存加载,无文...
02月21日82 views评论powershell
vbs