【Web实战】先锋马免杀分享
作者:凝 先看效果(文中附源码) 思路 1.shellcode自身免杀 首先cs生成一个bin文件 再没有二开的情况下落地就会死 那么如何处理呢? 可以通过对shellcode进行加密和编码的方式,然后在内存中进行...
- 15
- 23
- ning凝
- 发布于 2023-11-14 09:43:15
- 阅读 ( 15820 )
ning凝
微信小程序抓包及测试
本来只想写个抓包反编译过程,没想到大肠包小肠有意外收获
- 35
- 23
- T4nGgggggggggggggggggggggggggggggggg
- 发布于 2023-10-18 09:00:01
- 阅读 ( 19145 )
T4nGgggggggggggggggggggggggggggggggg
xhys
记一次从xss到任意文件读取
xss一直是一种非常常见且具有威胁性的攻击方式。然而,除了可能导致用户受到恶意脚本的攻击外,xss在特定条件下还会造成ssrf和文件读取,本文主要讲述在一次漏洞挖掘过程中从xss到文件读取的过程,以及其造成的成因。
- 23
- 22
- 中铁13层打工人
- 发布于 2023-08-15 15:00:01
- 阅读 ( 15634 )
中铁13层打工人
一次从0到1的逻辑漏洞挖掘之旅
当我看到前端没任何功能点时,是绝望的;看到登录到系统后端只调用了两个接口时,是绝望的;看到js中一堆接口,但大多数都是403时,是绝望的;找到一个能调通的接口,但不知道参数名时,是绝望的;找到参数名,但是不知道传参的值时,是绝望的
- 13
- 21
- 新人小安
- 发布于 2025-06-20 09:00:02
- 阅读 ( 6813 )
渗透测试JS接口Fuzz场景研究
渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键,介绍尝试测试思路以及对参数Fuzz 手段
- 33
- 21
- 一天要喝八杯水
- 发布于 2025-02-27 09:30:02
- 阅读 ( 11237 )
一天要喝八杯水
记一次简单的EDU通杀挖掘
之前一直在研究webpack的问题(有兴趣可以看我之前的两篇文章),最近感觉自己webapck已经大成,就看了看别的漏洞,在TOP10里我毫不犹豫的选择了主攻注入。我通常都是边学边挖的,这篇记录一下挖到的一个小通杀,这篇文章中的注入虽然很简单但也给了我很大的动力
- 24
- 21
- TUANOAN
- 发布于 2022-08-11 09:42:19
- 阅读 ( 18480 )
文件导出功能的SSRF
本文讲述一下ssrf加metadata的利用方式,其他常规利用方式,好多师傅已经写过了这里就不再赘述。
- 31
- 21
- 苏苏的五彩棒
- 发布于 2022-04-21 14:43:03
- 阅读 ( 23194 )
苏苏的五彩棒
记某系统有趣的文件上传
本次是一次漏洞复现记录,记录了一个有趣的后台文件上传漏洞,以后遇到类似的拦截可以参考这次的过程绕过。
- 25
- 20
- 中铁13层打工人
- 发布于 2023-12-11 15:41:23
- 阅读 ( 40300 )
企业级-应急响应完整流程:启示录1
1、熟悉企业级完整应急响应流程 2、掌握企业级取证报告编写 3、有完整配套视频讲解 https://www.bilibili.com/video/BV1rr4y1H7LX?spm_id_from=333.337.search-card.all.click
- 34
- 20
- Dnslog_95
- 发布于 2022-05-13 09:30:09
- 阅读 ( 24886 )
Dnslog_95
大力出奇迹—从目录爆破到getshell
某日在做一个渗透测试项目,但是没有任何收获,这怎么能给领导交差呢?于是只能加班加点进行测试,终于在我大力出奇迹的干法下,拿到了一个shell。
- 21
- 20
- 苏苏的五彩棒
- 发布于 2022-04-12 09:41:38
- 阅读 ( 24644 )
dota_st
安卓机root抓包及绕过检测教程(上)
- 21
- 20
- GLRpiz
- 发布于 2022-01-07 09:34:27
- 阅读 ( 36034 )
【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈
案例挑选以往攻防、SRC、渗透项目报告有启发性报告形成文章供各位读者师傅学习,漏洞思路并不局限于接口测试,利用现有信息打出组合拳也是不错的选择
- 16
- 19
- 一天要喝八杯水
- 发布于 2025-10-30 09:00:00
- 阅读 ( 3840 )
记一次某大厂csrf漏洞通过蠕虫从低危到高危
本文记载了笔者src漏洞挖掘的经历,如何将一个简单的csrf提高至高危的程度
- 31
- 19
- 7ech_N3rd
- 发布于 2025-03-11 09:00:00
- 阅读 ( 40483 )
实战 | 对自己学校内网的渗透测试
一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。
- 22
- 19
- 越南王子
- 发布于 2024-08-20 14:32:36
- 阅读 ( 9930 )
越南王子
记一次登录框0-1渗透突破
记录一次公司渗透项目0-1 突破登录框案例,操作简单但思路足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述
- 20
- 18
- 一天要喝八杯水
- 发布于 2025-11-13 11:22:43
- 阅读 ( 4272 )
任意文件读取&下载漏洞的全面解析及利用
在实战中,我们不仅需要关注如何进行发现漏洞,也需要反思如何对发现的漏洞进行最大化利用!
- 31
- 18
- 小铭
- 发布于 2024-01-03 09:34:39
- 阅读 ( 29079 )