实战 | 对自己学校内网的渗透测试
一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。
- 17
- 16
- 越南王子
- 发布于 2024-08-20 14:32:36
- 阅读 ( 4175 )
越南王子
禅道项目管理系统身份认证绕过分析(QVD-2024-15263)
禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器
- 0
- 3
- kakakakaxi
- 发布于 2024-05-16 10:44:37
- 阅读 ( 4158 )
kakakakaxi
CVE-2024-27198 JetBrains TeamCity身份验证绕过漏洞浅析
JetBrains TeamCity发布新版本(2023.11.4)修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。未经身份验证的远程攻击者利用CVE-2024-27198可以绕过系统身份验证,创建管理员账户,完全控制所有TeamCity项目、构建、代理和构件,为攻击者执行供应链攻击。远程攻击者利用该漏洞能够绕过身份认证在系统上执行任意代码。
- 0
- 1
- Stree
- 发布于 2024-03-15 09:00:00
- 阅读 ( 3997 )
Stree
通过代码审计某友获取CNVD高危证书
之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。
- 4
- 5
- webqs
- 发布于 2024-06-07 11:16:25
- 阅读 ( 3953 )
fan
NoSQL 从0到1(MongoDB and InfluxDB)
NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们通常比 SQL 具有更少的关系约束和一致性检查,并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示,并且加入了一个不常见的数据库influxfDb的注入方式,可在CTF中出类似的题目。总的来说,nosql注入是较为灵活的。
- 0
- 1
- 梦洛
- 发布于 2024-04-07 10:03:39
- 阅读 ( 3874 )
梦洛
记edusrc挖掘的骚技巧
本文作者:Track-Tobisec,主要介绍edusrc入门的漏洞挖掘手法以及利用github信息收集的过程
- 9
- 8
- n3ewlit
- 发布于 2024-07-29 09:00:00
- 阅读 ( 3848 )
n3ewlit
DiceCTF-Rev Scrambled-up
在今年的DiceCTF中,做到了一个很特别的逆向题,比起以往的执行流混淆,这个题目是一个数据流混淆的题目。这里分享一下题目的解题过程
- 0
- 0
- l1nk
- 发布于 2024-03-01 09:00:01
- 阅读 ( 3777 )
记录某项目中一次较为顺利的溯源反制过程
从发现攻击IP到反制拿到system权限,再到分析傀儡机上的扫描工具(有球球号),最后还原攻击路径。主打一个分享思路和技巧。
- 3
- 1
- 11123
- 发布于 2024-05-16 09:00:00
- 阅读 ( 3775 )
xhys
记一次pearcmd文件包含+session序列化
DASCTF X GFCTF 2024|四月开启第一局的一道一解题目(SuiteCRM)和零解题目(web1234)的详细题解
- 0
- 0
- Sakura501
- 发布于 2024-05-13 10:00:01
- 阅读 ( 3672 )
Sakura501
小惜渗透
某低代码平台代码审计分析
某次项目中遇到的系统,发现还是开源的,于是就下下来小审一下,从权限绕过到getshell,还是比较有收获。
- 4
- 5
- Qiu_
- 发布于 2024-05-22 09:00:00
- 阅读 ( 3583 )