10推荐

5602浏览

【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据

某省攻防实战。通过多层绕过。成功不要密码拿下一个后台。包括各个学校账号密码，等相关敏感信息。为后续打下坚实基础

• 12
• Serein_V 发布于 2023-11-15 10:00

8推荐

8097浏览

【Web实战】钓鱼手法及木马免杀技巧

钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开

• 15
• hyyrent 发布于 2023-11-15 09:00

10推荐

22068浏览

【Web实战】数据泄露漏洞

随着移动互联网的快速发展和物联网设备的普及，API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务都依赖API进行数据调用，因此与API相关的数据泄露事件也逐渐增多。Facebook 、Twitter、Amazon、美团等公司均发生过由于API未鉴权、鉴权不严格或其它漏洞而发生大量数据泄露事件。 API安全指的是确保应用程序接口的安全性，以防止未经授权的访问、数据泄露、篡改或其他恶意攻击。

• 9
• 苏苏的五彩棒 发布于 2023-11-10 09:00

6推荐

6136浏览

【Web实战】一次空白页面的“妙手回春”嘎嘎出严重漏洞

某次企业SRC的一次实战。其中通过信息收集发现了一个站点，这里为内部系统，访问的时候居然直接一片空白，是空白页面。难道空白页面就没有漏洞吗？我就偏偏不信这个邪，上手就是干！

• 5
• Johnson666 发布于 2023-11-08 10:00

9推荐

5101浏览

【Web实战】记一次日志泄露到GetShell

在一次攻防演练中，遇到这么一个站点 该站点基于ThinkPHP框架开发，且存在日志泄露，故事就从这个日志泄露开始了 信息收集 1. 老话说的好，渗透的本质就是信息收集,而信息搜集整理为后续的情报...

• 5
• C01D 发布于 2023-11-07 09:00

6推荐

5794浏览

【Web实战】记一次对某停车场系统的测试

对某停车场系统的测试

• 7
• T4nGgggggggggggggggggggggggggggggggg 发布于 2023-11-06 10:53

6推荐

17331浏览

记一次过滤jsp的文件上传

在某次对某单位进行渗透测试时，遇到一个上传点，网站是java写的，但是上传jsp和jspx时会被waf拦截，但由于上传路径可控，经过不懈努力最终成果拿到shell，于是写这篇文章记录一下

• 5
• 中铁13层打工人 发布于 2023-11-03 09:00

5推荐

4611浏览

某次测试从前台登录页到渲染后台功能

某次测试目标仅给了一个后台系统

• 3
• 中铁13层打工人 发布于 2023-11-02 09:00

0推荐

4645浏览

从0到1了解metasploit上线原理

在渗透的过程中拿到权限后通常会进行上线cs/msf的操作，我们了解上线的原理后，无论是对编写远控，还是绕过杀软帮助都很大。

• 4
• ring3 发布于 2023-11-01 09:00

7推荐

4769浏览

webshell静态免杀的一些思路

webshell静态免杀的一些思路

• 6
• Test001 发布于 2023-10-30 09:00

8推荐

22016浏览

某CMS的RCE漏洞分析&思路扩展（新手学习）

Github上面一个开源的JAVA CMS系统( [Public CMS](https://github.com/sanluan/PublicCMS) )，该系统存在一处任意命令执行(漏洞现已修复)，记录下该漏洞的分析过程以及遇到类似的CMS系统我们还可以从哪些点进行漏洞挖掘。

• 5
• 中铁13层打工人 发布于 2023-10-27 09:00

11推荐

5274浏览

PHP从零学习到Webshell免杀手册

PHP从零学习到Webshell免杀手册

• 20
• 曾哥 发布于 2023-10-26 09:00

5推荐

4736浏览

闪灵cms高校版代码审计

闪灵cms代码审计

• 1
• Test001 发布于 2023-10-20 09:00

22推荐

11868浏览

微信小程序抓包及测试

本来只想写个抓包反编译过程，没想到大肠包小肠有意外收获

• 31
• T4nGgggggggggggggggggggggggggggggggg 发布于 2023-10-18 09:00

1推荐

3815浏览

Revisiting a UAC Bypass By Abusing Kerberos Tickets

Background 本文章的灵感来自 James Forshaw（@tiraniddo）在 BlackHat USA 2022 上分享的名为 “Taking Kerberos To The Next Level” 的议题，他分享的了滥用 Kerberos 票据实现 UAC 绕过的 Dem...

• 1
• Marcus_Holloway 发布于 2023-10-17 09:00