xx - 第 3 | CN-SEC 中文网

安全工具

Linux权限维持工具：HackerPermKeeper

安全工具 01 工具介绍通过渗透拿到权限之后，为了不让权限丢失，都会进行权限维持，而在进行权限维持的时候，红队需要花费大量的时候，来验证是否合适，因此在这款工具就诞生 HackerPermKeepe...

05月19日11 views评论

阅读全文

安全文章

一个IP Getshell

收集开局只有一个IP：103.xx.xx.99，基本信息如下： thinkphp 3.1.3 + iis 7.5 + php 5.4.28 + Windows Server 2008 R2 域名通...

04月19日19 views评论

阅读全文

安全文章

记一次信息泄露到云服务接管

本文由掌控安全学院 - 1782814xxxx 投稿通过信息收集发现子域为xx.xx.com网站，打开先找功能点，测试登录，是微信扫描登录指纹识别发现是js开发，如果登录或者找回密码不是扫码登录的...

04月07日22 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-03-15 如何在App Store里面下载xx类APP

又到一年“3.15”，不知道今年在网络安全领域有哪些需要保护的消费者权益呢？且让我们来看一篇关于iOS App Store的安全研究论文No Source Code? No Problem! Demy...

03月16日28 views评论

阅读全文

安全漏洞

JetBrains TeamCity (CVE-2024-27198)

fofa语法body="Log in to TeamCity"app="JET_BRAINS-TeamCity"影响版本TeamCity（On-Premises）< 2023.11.4漏洞复现P...

03月08日24 views评论

阅读全文

安全文章

实战 | 通过js找路径来截断文件上传

前言 edu教育证书站之路 0x01 信息收集通过fofa，子域名收集等相关工具搜索域名定位到站点：htps://xx..edu.cn/x/xx/ 0x02 寻找接口通过f12寻找相关的js，发...

03月08日34 views评论

阅读全文

安全文章

记一次寻找js来文件上传

本文由掌控安全学院 - 不是川北投稿 edu教育证书站之路 0x01 信息收集通过fofa，子域名收集等相关工具搜索域名定位到站点：htps://xx..edu.cn/x/xx/ 0x02 寻找...

03月05日28 views评论

阅读全文

应急响应

【安全服务】XX公司应急响应处置报告

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。...

02月25日46 views评论

阅读全文

安全文章

攻防|记某次极为顺畅的实战案例

原文链接： https://xz.aliyun.com/t/13557 真实案例，厚码见谅，有些步骤可能有些忘记，截图并不是很全面。金蝶云星空RCE shell之后尝试上线（出网） certutil...

02月23日11 views评论

阅读全文

安全文章

钓鱼手法及木马免杀技巧

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭...

02月10日21 views评论

阅读全文

安全漏洞

360天擎sql注入

360 天擎终端安全管理系统是奇虎 360 面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方...

02月09日56 views评论

阅读全文

安全文章

实战案例 | 利用SpringBoot相关RCE漏洞拿下某数字化平台系统

前言在一次众测项目中，对某大型企业的某套数字化平台系统进行测试，前端功能简单，就一个登录页面，也没有测试账号，由于给的测试时间不多，倒腾了半天没有发现有价值的漏洞，在快要结束的时候，试了几个报错，发...

02月06日62 views评论

阅读全文