记一次渗透实战-代码审计到getshell

一次渗透测试遇见的系统，遂进行代码审计

• 16
• 14
• dota_st
• 发布于 2022-02-14 09:28:23
• 阅读 ( 12170 )

零基础解密手机微信【视频讲解】

#前言： 微信平台是目前公众使用频率极高的一款即时通信软件，为公众带来极大的便利。但同时也给 不法分子带来新的机会，许多违法犯罪行为在微信平台上发生。 上篇我们介绍了PC端微信相关数...

• 10
• 14
• 天禧信安
• 发布于 2021-08-30 10:10:00
• 阅读 ( 19940 )

这个SQL注入有点东西

最近遇到了几个比较有意思的SQL注入，跟各位师傅们分享一下思路和注入方式。

• 14
• 13
• 薛定谔不喜欢猫
• 发布于 2025-07-10 09:00:01
• 阅读 ( 5307 )

同源异梦：JWT 泄露后从主站到旁站的渗透曲线

在测试过程中，常常会遇到jwt的泄露，但是在测试时，无论加什么header，如何改uri，最后的结果不是401，就是404。不妨试一下同IP站点或者相似站点。

• 8
• 13
• _7
• 发布于 2025-07-02 09:43:33
• 阅读 ( 5035 )

未授权服务加固与泛解析字符绕过

面向公网资产多轮加固的业务、异常的业务，通过泛解析字符让服务抛出异常信息回显，定位到无需认证的位置，缩短未授权业务测试的日常时间成本。

• 17
• 13
• echoa
• 发布于 2025-04-22 16:44:26
• 阅读 ( 4458 )

零基础从0到1掌握Java内存马

本文目录： 一、前言 二、前置知识 2.1 Servlet容器与Engine、Host、Context和Wrapper 2.2 编写一个简单的servlet 2.3 从代码层面看servlet初始化与装载流程 2.3.1 servlet初始化流程分析 2....

• 21
• 13
• W01fh4cker
• 发布于 2024-06-06 10:14:22
• 阅读 ( 8379 )

bc从注册到RCE

喜欢就好

• 5
• 13
• 阿斯特
• 发布于 2024-05-14 14:09:44
• 阅读 ( 6912 )

[攻防实战]外网突破

在经历了多年的攻防对抗之后，大量目标单位逐渐认识到安全防护的重要性。因此，他们已采取措施尽可能收敛资产暴露面，并加倍部署各种安全设备。但安全防护注重全面性，具有明显的短板...

• 20
• 13
• 苏苏的五彩棒
• 发布于 2023-09-28 09:00:02
• 阅读 ( 13679 )

某移动平台代码审计

该套系统是一次地市级hvv中，扫目录扫到备份文件拿到的，因为也是第一次审计.net，前期也没学过，可能也有很多解释的不对的地方望师傅们指出

• 7
• 13
• T4nGgggggggggggggggggggggggggggggggg
• 发布于 2023-08-30 09:00:02
• 阅读 ( 8148 )

java代审那些笔记之若只如初见

之前给自己挖了几个大坑，一系列的总结文档还没有弄完，又碰上审计了，顺便记录记录下~有啥问题或建议，望大佬们，多多指点。

• 15
• 13
• 0nlyuAar0n
• 发布于 2023-01-17 09:00:02
• 阅读 ( 15579 )

SRC 视角下：渗透测试中的逻辑漏洞思路博弈

最近挖到的中高危漏洞，既没靠 `0day` 这种 "王炸"，也没搞复杂利用链 "炫技"，纯靠瞪大眼睛当 "人肉扫描器"，连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午，随手改了个藏在 `JSON` 数据深处的小参数，系统突然像短路反馈了全新的信息，反常的响应直接暴露未授权访问的 "马脚"。当时激动得差点把咖啡泼到键盘上，看着满地咖啡渍才顿悟 —— 原来倒掉的咖啡，比直接喝咖啡提神一百倍

• 9
• 12
• 一天要喝八杯水
• 发布于 2025-06-30 10:07:55
• 阅读 ( 6693 )

智能汽车安全-漏洞挖掘到控车攻击

本文专注讲解真实漏洞、挖掘技巧、实际控车案例和个人的建议，不涉及复杂的汽车架构、网络拓扑、车内通信等技术，所有人都可放心食用

• 13
• 12
• OYyunshen
• 发布于 2025-04-30 11:33:20
• 阅读 ( 7271 )

挖矿木马+隐藏后门应急分析

记录一次挖矿病毒木马的学习，仅供学习交流 ！

• 15
• 12
• Yu9
• 发布于 2024-07-25 09:00:01
• 阅读 ( 7917 )

【Web实战】一次从子域名接管到RCE的渗透经历

一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历，从子域名接管到上传Shell提权，将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理...

• 11
• 12
• 考不过刘乐琪不改名
• 发布于 2023-11-29 09:00:02
• 阅读 ( 9011 )

【Web实战】零基础微信小程序逆向

本文以微信小程序为例，从实战入手，讲解有关于小程序这种新型攻击面的渗透，对于了解小程序的安全性和防范措施有一定的帮助。

• 19
• 12
• Believer
• 发布于 2023-11-21 09:00:02
• 阅读 ( 17519 )

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

• 15
• 12
• ekkoo
• 发布于 2023-12-05 09:00:02
• 阅读 ( 12619 )

PHP从零学习到Webshell免杀手册

PHP从零学习到Webshell免杀手册

• 21
• 12
• 曾哥
• 发布于 2023-10-26 09:00:02
• 阅读 ( 8272 )

记两次内网入侵溯源

记两次内网入侵溯源

• 11
• 12
• 苏苏的五彩棒
• 发布于 2023-10-07 09:00:00
• 阅读 ( 12181 )

记一次攻防演练之vcenter后渗透利用

很早之前的一次攻防演练，主要是从web漏洞入手，逐渐学习vcenter后利用技术。过程由于太长，很多细节都省略了，中间踩坑、磕磕绊绊的地方太多了。。。 由于敏感性，很多地方都是打码或者是没有图，按照回忆整理的，见谅！

• 11
• 12
• crow
• 发布于 2022-11-10 09:00:02
• 阅读 ( 17852 )

完整收集信息以扩展实战攻击面

通过两个实战例子，分别以外部和内部为例，展示收集信息的重要性，通过收集完备信息，最大化扩展渗透攻击面

• 13
• 12
• K0u_az
• 发布于 2022-07-20 09:46:42
• 阅读 ( 12373 )