🐉工具介绍 OneScan是一款为了发现站点深层目录下的 Swagger-API 接口文档,后面随着功能的完善和使用姿势的增加,目前可以完成:发现隐藏接口、发现敏感信息泄漏、测试未授权、越权接口等测试...
某聚合支付平台存在SQL注入漏洞
0x00 前言 聚合支付系统是一套无需后端开发,只需要接入SDK即可拥有一套完整的支付接口,以及稳定的速度直达支付,让支付接口更加简单,还拥有开发者中心,注册登录等功能. 0x01 资产测绘 Fofa...
从一次事件到通杀漏洞挖掘
从一次事件到通杀漏洞挖掘 某天风和日丽,宜挖洞,打开FOFA直接干,翻了很久看到了这个站点,于是牵引出以下故事 body="系统" && country="CN"能打的资产贼多吧然后去...
【原创】CTFshow—反序列化(254—278)
[huayang] 头疼的序列化来了,想起被代码审计支配的恐惧,难受 web254 ?username=xxxxxx&password=xxxxxx 还是有个小知识:Public Func...
渗透测试 | 记一次比较基础的渗透测试
信息收集漏洞挖掘获取shellphpadmin文件上传与文件包含对某一个网站的渗透信息收集简单的进行一下信息收集,goby工具走一下:目录扫描[200][text/html][1.67kb] ...
记录一次实战,注入+本地JS绕过拿shell
1.找注入点2.测试是否有注入:http://xxxxxx/xxxx.php?id=6’ ,没有回显输入:http://xxxxxx/xxxx.php?id=6 and 1=1 有回显,and 1 =...
SRC实战|记一次edusrc挖掘艰难Getshell
以下内容仅供技术研究学习使用!严禁用于非法操作!切实维护国家网络安全,普及相关网络安全知识是信安从业者的义务!前言:辛辛苦苦的找到了一处上传点但上传文件找不到shell艰难找路径最终GETSHELL的...
一封诈骗恐吓邮件文本
您好!很遗憾,您即将听到一个坏消息。在大约几个月之前,我获得了您用来上网的所有电子设备的完全访问权限。之后没多久,我就开始录制您所有的互联网活动。以下是整件事情的来龙去脉:早前,我从黑客那购买了不少电...
记一次COOKIE的伪造登录
点击蓝字关注我们01发现它的网址如此通过信息收集—发现它的密码规则如下(因重点是COOKIE的伪造登录,故密码规则就不放图了,你懂的)账户:xxxx密码: Aa1xxxx02爆...
如何拿到人生第一张edu漏洞证书
svn泄露整站源码(学生、职工、等信息)url:https://xxxxxx.xxxx.edu.cn1,目录扫描发现/.svn/entries和/.svn/wc.db2,下载https://xxxxx...