RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

记一次任意文件下载(尝试Getshell未果)

有请今天的主角登场,不难看出这是一个招聘系统 1.先尝试注册

  • 9
  • 14
  • C01D
  • 发布于 2023-02-17 16:19:55
  • 阅读 ( 9000 )

浅谈Webpack导致的一些问题

webpack的打包方便了我们,却也因为他的特性,使网站也存在了一些安全问题......

  • 15
  • 14
  • TUANOAN
  • 发布于 2022-07-13 09:52:50
  • 阅读 ( 14456 )

实战 | 对自己学校内网的渗透测试

一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。

  • 13
  • 13
  • lei_sec
  • 发布于 2024-04-15 10:13:29
  • 阅读 ( 5253 )

[攻防实战]外网突破

在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...

某学校授权渗透测试评估

从今年的五月份正式接触渗透实战到现在我依旧觉得攻防的本质仍是信息收集并且自身的知识面决定了攻击面。若该篇文章存在错误恳请各位师傅们斧正;若您对该渗透流程有更好的建议或者不同的思路想法也烦请您不吝赐教。

  • 16
  • 12
  • hey
  • 发布于 2024-01-08 10:00:02
  • 阅读 ( 9198 )

完整收集信息以扩展实战攻击面

通过两个实战例子,分别以外部和内部为例,展示收集信息的重要性,通过收集完备信息,最大化扩展渗透攻击面

  • 13
  • 12
  • K0u_az
  • 发布于 2022-07-20 09:46:42
  • 阅读 ( 9230 )

又记一次安服仔薅洞实战-未授权之发现postgresql注入

距离上次文章又过去了小半年的时间,忙了小半年也没有什么优秀的东西分享就一直沉寂着,这次我带着实战干货又回来啦!这一次也是干公司的项目,是关于一个登录框的渗透测试,也不逼逼了开始渗透

  • 20
  • 12
  • L1NG
  • 发布于 2022-03-07 09:55:23
  • 阅读 ( 7967 )

迷糊的全局守卫

随着技术的发展,前后端分离越来越流行,因为这样的流程使得前后端各负其责, 前端和后端都做自己擅长的事情,不互相依赖,开发效率更快,而且分工比较均衡,会大大提高开发效率,但有些问题也显露了出来......

  • 9
  • 11
  • TUANOAN
  • 发布于 2022-08-05 09:55:15
  • 阅读 ( 7444 )

bc从注册到RCE

喜欢就好

  • 3
  • 10
  • 阿斯特
  • 发布于 2024-05-14 14:09:44
  • 阅读 ( 3361 )

记:一次经典教育系统后台漏洞打包!

记:一次经典教育系统后台漏洞打包!

  • 5
  • 9
  • xhys
  • 发布于 2024-09-02 09:00:02
  • 阅读 ( 1046 )

死磕某小程序

死磕某小程序

  • 5
  • 9
  • xhys
  • 发布于 2024-05-08 14:13:23
  • 阅读 ( 4905 )

记一次SQL注入绕过宝塔+云waf

话不多说,上干货

非常规环境下编辑器的一些Bypass思路

在一些非常规环境下编辑器不固定路径,往往漏洞在后台,为了完成渗透任务,如何出一些未授权的漏洞或者Bypass? 在一些众测项目、运营商项目、攻防比赛中,经常遇到内容管理系统,然而这样的web使用到eweb、ue等编辑器可能性很大,但常常做了一些优化,如二改、修改路径、做了策略限制,于是总结了一些Bypass

  • 8
  • 9
  • echoa
  • 发布于 2023-12-26 09:00:00
  • 阅读 ( 4859 )

实战 | 记某次攻防演练钓鱼专项

由客户授权,组织一场钓鱼攻防演练专项,以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成,通过附件携带木马以及制作钓鱼页面来骗取敏感信息两个角度来进行测试,最后效果不错,完美收工,且听我娓娓道来。

  • 8
  • 9
  • 小艾
  • 发布于 2023-12-14 10:27:57
  • 阅读 ( 5647 )

【Web实战】零基础微信小程序逆向

本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。

  • 14
  • 9
  • Believer
  • 发布于 2023-11-21 09:00:02
  • 阅读 ( 9480 )

【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据

某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码,等相关敏感信息。为后续打下坚实基础

  • 11
  • 9
  • Serein_V
  • 发布于 2023-11-15 10:00:01
  • 阅读 ( 4921 )

【HVV回顾】小程序打点案例分享

刚结束某地HVV,小程序作为低成本易用的信息化系统,成为HVV新型重点突破对象。以下案例均来自于小程序,供大家学习。

  • 10
  • 9
  • 浪飒sec
  • 发布于 2023-08-31 09:00:00
  • 阅读 ( 7811 )

双记一次安服仔薅洞实战-前端JS的相爱相杀

哈喽everyone,我又双回来了,猴子点点的渗透测试工程师这次来分享一个关于前端JS渗透测试的实战教程,这一次也是干公司的项目,老样子还是一个登录框的渗透测试。前端JS通常会泄漏一些接口用于与后台服务器交互,时常会出现未授权或者越权等操作,这一次遇到一个很有意思的接口,下面进入正题吧

  • 16
  • 9
  • L1NG
  • 发布于 2022-04-02 11:17:26
  • 阅读 ( 8296 )

新型网络犯罪攻防技术研究

大家好,我是风起。本次带来的是对于新型网络犯罪的渗透研究,区别于常规的渗透测试任务,针对该类站点主要核心不在于找出尽可能多的安全隐患,更多的聚焦于 **数据** 这个概念。值得注意的是,这里的数据更多时候指的是:**代理身份**、**后台管理员身份**、**受害人信息**、**后台数据**、 **消费凭证** 等信息。总的来说,一切的数据提取都是为了更好的落实团伙人员的身份信息。

  • 4
  • 9
  • 风起
  • 发布于 2021-10-28 14:34:51
  • 阅读 ( 5961 )