RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

某移动平台代码审计

该套系统是一次地市级hvv中,扫目录扫到备份文件拿到的,因为也是第一次审计.net,前期也没学过,可能也有很多解释的不对的地方望师傅们指出

java代审那些笔记之若只如初见

之前给自己挖了几个大坑,一系列的总结文档还没有弄完,又碰上审计了,顺便记录记录下~有啥问题或建议,望大佬们,多多指点。

  • 15
  • 13
  • 0nlyuAar0n
  • 发布于 2023-01-17 09:00:02
  • 阅读 ( 17918 )

记一次Hvv中遇到的API接口泄露而引起的一系列漏洞

从一个小小的Api接口泄露,再到后面的一系列漏洞发现,这次的挖洞过程非常的有趣,于是分享出来 追根究底,还是要细心~,细心~,细心~

  • 6
  • 13
  • K0u_az
  • 发布于 2021-07-01 10:53:44
  • 阅读 ( 14385 )

【Web实战】一次从子域名接管到RCE的渗透经历

一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理...

【Web实战】零基础微信小程序逆向

本文以微信小程序为例,从实战入手,讲解有关于小程序这种新型攻击面的渗透,对于了解小程序的安全性和防范措施有一定的帮助。

  • 19
  • 12
  • Believer
  • 发布于 2023-11-21 09:00:02
  • 阅读 ( 19699 )

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去,为网上家园筑起属于我们的安全堤坝!

  • 15
  • 12
  • ekkoo
  • 发布于 2023-12-05 09:00:02
  • 阅读 ( 13797 )

PHP从零学习到Webshell免杀手册

PHP从零学习到Webshell免杀手册

  • 21
  • 12
  • 曾哥
  • 发布于 2023-10-26 09:00:02
  • 阅读 ( 9907 )

记两次内网入侵溯源

记两次内网入侵溯源

记一次攻防演练之vcenter后渗透利用

很早之前的一次攻防演练,主要是从web漏洞入手,逐渐学习vcenter后利用技术。过程由于太长,很多细节都省略了,中间踩坑、磕磕绊绊的地方太多了。。。 由于敏感性,很多地方都是打码或者是没有图,按照回忆整理的,见谅!

  • 11
  • 12
  • crow
  • 发布于 2022-11-10 09:00:02
  • 阅读 ( 19453 )

waf绕过--打狗棒法

0x01 前言 某狗可谓是比较好绕过的waf,但是随着现在的发展,某狗也是越来越难绕过了,但是也不是毫无办法,争取这篇文章给正在学习waf绕过的小白来入门一种另类的waf绕过。 某狗可谓是比较好绕...

  • 18
  • 12
  • Q16G
  • 发布于 2022-11-07 16:34:56
  • 阅读 ( 13604 )

完整收集信息以扩展实战攻击面

通过两个实战例子,分别以外部和内部为例,展示收集信息的重要性,通过收集完备信息,最大化扩展渗透攻击面

  • 13
  • 12
  • K0u_az
  • 发布于 2022-07-20 09:46:42
  • 阅读 ( 13423 )

又记一次安服仔薅洞实战-未授权之发现postgresql注入

距离上次文章又过去了小半年的时间,忙了小半年也没有什么优秀的东西分享就一直沉寂着,这次我带着实战干货又回来啦!这一次也是干公司的项目,是关于一个登录框的渗透测试,也不逼逼了开始渗透

  • 22
  • 12
  • L1NG
  • 发布于 2022-03-07 09:55:23
  • 阅读 ( 13145 )

手把手拆解:小程序/Web端加密鉴权绕过案例全复现

本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态调试、JS逆向与脚本复现,精准定位加密逻辑、还原签名算法,并最终实现越权访问、信息遍历与账号接管

  • 20
  • 11
  • Werqy3
  • 发布于 2025-12-02 10:00:01
  • 阅读 ( 4583 )

浅谈常见edu漏洞,逻辑漏洞➡越权➡接管➡getshell,小白如何快速找准漏洞

之前闲来无事承接了一个高校的渗透测试,测试过程中没有什么复杂的漏洞,是一些基础的edu常见漏洞,适合基础学习,于是整理一下和师傅们分享。

巧用异或绕过限制导致rce

某课程系统后台RCE

死磕某小程序

死磕某小程序

  • 7
  • 11
  • xhys
  • 发布于 2024-05-08 14:13:23
  • 阅读 ( 9558 )

一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞

一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞

  • 10
  • 11
  • xhys
  • 发布于 2024-03-25 10:00:00
  • 阅读 ( 20538 )

Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)

(CVE-2023-22527)Atlassian Confluence 模板注入代码执行漏洞代码级分析,内含poc

  • 3
  • 11
  • jweny
  • 发布于 2024-01-23 10:00:13
  • 阅读 ( 42997 )

实战 | 记某次攻防演练钓鱼专项

由客户授权,组织一场钓鱼攻防演练专项,以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成,通过附件携带木马以及制作钓鱼页面来骗取敏感信息两个角度来进行测试,最后效果不错,完美收工,且听我娓娓道来。

  • 12
  • 11
  • 小艾
  • 发布于 2023-12-14 10:27:57
  • 阅读 ( 12259 )

Cobaltstrike4.0 学习——http分阶段stagebeacon上线流量刨根问底

简单记录下对cs的http分阶段stagebaecon上线流量分析的过程,以及自己对一些东西的一些思考和想法

  • 5
  • 11
  • Ga0WeI
  • 发布于 2022-09-06 09:40:52
  • 阅读 ( 17313 )