xx - 第 4 | CN-SEC 中文网

安全文章

【Web渗透】Getshell姿势总结

进后台Getshell管理员后台直接Getshell管理员后台直接上传Getshell，有时候带密码的Webshell连接时容易被waf拦截，可以上传不加密的Webshell如有权限限制可以尝试管理后...

02月04日37 views评论

阅读全文

安全文章

某oa命令执行漏洞挖掘思路

首先来看一个历史漏洞，Ognl表达式注入导致RCE，具体payload如下 POST /common/common_sort_tree.jsp;.js HTTP/1.1 Host: xx.xx.xx....

02月04日45 views评论

阅读全文

安全文章

赏金猎人|记一次对某电商平台的多种中高危漏洞挖掘

0x01 前言概述平台厂商注册资金8000W，平台类型为电商平台，经过探测打点平台存在多种中高危漏洞，大部分为逻辑漏洞存在漏洞：任意用户注册无限短信验证发送任意用户更改密码用户信息泄露 re...

02月01日166 views评论

阅读全文

安全工具

一款集成了JS接口提取漏洞扫描及内网渗透的工具-漏洞探测

0x01 工具介绍该工具就是作者练习javafx的产物，并没有高深莫测的功能，给自己的礼物。下载地址在 https://github.com/0x7eTeam/0x7eTeamTools/rele...

01月17日91 views评论

阅读全文

安全文章

记一次通过逻辑漏洞组合进入某公司股份管理后台的案例

用到的工具：1、burp suite；2、fiddler 一、打开公司官网二、进入XX管理系统漏洞一：信息泄露 1、通过前端接口拼接发现信息泄露，包括姓名和手机号等信息漏洞二：密码重置 1、在忘...

12月25日39 views评论

阅读全文

安全文章

对某菠菜的渗透测试笔记

前言闲着无聊，网上随便找了一个菠菜进行简单测试，并做笔记记录，大佬们轻喷，有什么不足之处请指教。弱口令访问网站就是一个登录页面，没有验证码直接 bp 开启，成功爆出弱口令 ...

12月22日72 views评论

阅读全文

安全闲碎

作为渗透测试工程师有什么有趣的经历？

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立...

12月21日32 views评论

阅读全文

安全工具

磁盘性能测试-FIO工具的使用

引言在服务器应用和云计算等领域，磁盘性能是一个非常重要的系统性能指标，决定了数据传输速度和响应时间[1]，作者写这篇文章时正在使用FIO工具进行云平台云服务器磁盘的性能测试工作，故本文将把作者本人在...

12月21日123 views评论

阅读全文

安全文章

K8s攻击案例：Privileged特权容器导致节点沦陷

01、概述特权容器（Privileged Container）是一种比较特殊的容器，在K8s中运行特权容器，需要将 Privileged 设为 true ，容器可以执行几乎所有可以直接在主机...

12月20日96 views评论

阅读全文

钓鱼首战-同归于尽篇

项目：目标：某XXX提供商类型：蓝队评估过程：1、开局大佬A、B、C接到其他任务被调走，又只剩我一个人。...

12月19日HW&HVV42 views评论

阅读全文

安全工具

神兵利器 | vagent内存马注入Tools（超详细）

一、模拟环境首先模拟了一个通过shiro反序列化漏洞，该环境以部署jar包方式，并且无法通过shiro工具打入内存马，需要手动注入内存马 vulhub上的CVE-2010-3863环境 cd /r...

12月17日108 views评论

阅读全文

安全闲碎

五年目睹之怪现状-关于安全行业我的偏激见解

以下都是我入行五年观察来的个人见解，被刺中的不提供安抚服务。水浅王八多，一堆高中，大专哥（泛指，包括但不限于）会点安全工具，做点测试就以为技术高超，典型取名特点是：xx学安全，xx安全实验室，中国红/...

12月16日88 views评论

阅读全文

【Web渗透】Getshell姿势总结

某oa命令执行漏洞挖掘思路

赏金猎人|记一次对某电商平台的多种中高危漏洞挖掘

一款集成了JS接口提取漏洞扫描及内网渗透的工具-漏洞探测

记一次通过逻辑漏洞组合进入某公司股份管理后台的案例

对某菠菜的渗透测试笔记

作为渗透测试工程师有什么有趣的经历？

磁盘性能测试-FIO工具的使用

K8s攻击案例：Privileged特权容器导致节点沦陷

钓鱼首战-同归于尽篇

神兵利器 | vagent内存马注入Tools（超详细）

五年目睹之怪现状-关于安全行业我的偏激见解

在线咨询

微信