4推荐

4960浏览

一次edu的渗透测试记录

一次edu的渗透测试记录

• 6
• 红猪 发布于 2024-08-09 09:00

22推荐

6450浏览

JS逆向,前端加密暴力破解(小白无痛学习)

JS逆向,前端加密暴力破解(小白无痛学习)

• 21
• xhys 发布于 2024-08-08 09:40

5推荐

4474浏览

记一次前端断点调试到管理员登陆

差点shell，可惜条件不允许。实战总是差点shell的火候，真是令人痛心呐痛心。 发现前端漏洞 This is a 靶标，出于保密原因我就不上图了，长得非常泛微。 一般看到这种一眼通用的系统我都会直接...

• 5
• 阿斯特 发布于 2024-08-07 09:00

9推荐

6191浏览

记edusrc挖掘的骚技巧

本文作者：Track-Tobisec，主要介绍edusrc入门的漏洞挖掘手法以及利用github信息收集的过程

• 14
• n3ewlit 发布于 2024-07-29 09:00

7推荐

32053浏览

HW 中如何利用 WAF 缺陷进行绕过

在挖洞过程中，往往会遇到各种攻击利用被waf拦截的情况，本文浅析总结了常见的一些绕过思路以及具体实现

• 14
• 中铁13层打工人 发布于 2024-07-26 10:00

7推荐

5422浏览

记一次某src挖掘

本文作者：Track - blueaurora，渗透思路往往不要太局限了。当我们对某一个登录框站点没有思路时，可以尝试找找是否存在一些说明手册，因为功能点繁多，面向大量的不同单位人群，可能会存在qq群等，好对一些用户问题进行处理，那么就可以通过谷歌语法，对网站名 + 群等关键字搜索，也可以直接在qq群搜索网站名称，或开发商名称进行查找，当你进入他们内部的群时，就可以获取很多敏感信息了，甚至可以直接向运维人员申请修改密码等操作。

• 5
• n3ewlit 发布于 2024-07-26 09:00

2推荐

3796浏览

浅谈SpringMVC自定义参数解析器与常见风险

在 Spring MVC 的控制器（Controller）中，方法参数通常由 Spring 容器自动解析。然而，在某些情况下，开发者可能需要自定义解析逻辑，以满足特定的需求。在日常代码审计可以额外关注对应的自定义参数解析器，可能会有意想不到的收获。

• 1
• tkswifty 发布于 2024-07-18 10:00

1推荐

4809浏览

云函数利用&Profile混淆

独有一份的xx云函数利用教程和profile混淆技术认识

• 3
• w1nk1 发布于 2024-07-15 09:00

3推荐

5411浏览

Nginx后门集合

保姆级学习当前已知的Nginx后门

• 1
• w1nk1 发布于 2024-07-12 10:00

0推荐

3472浏览

SCRIPTBLOCK Smuggling：伪装 PowerShell 安全日志并绕过 AMSI 防护，无需使用REFLECTION和PATCHING

近年来，PowerShell在安全渗透测试者、攻击模拟团队以及一定程度的网络高级持续性威胁行为者中的使用率有所下降。这背后有多种原因，但主要是由于PowerShell v5版本和AMSI（反恶意软件扫描接口）引入了PowerShell的安全日志功能。

• 0
• csallin 发布于 2024-07-04 09:37

37推荐

10707浏览

基于未授权的渗透测试技巧总结

围绕未授权测试厂商的思路分享，话不多说，上干货

• 56
• echoa 发布于 2024-06-14 10:24

8推荐

5249浏览

怒绕三个WAF注入的小故事

天呢，不知道的以为我在注CIA。 发现漏洞 经典的字符串型盲注，无报错回显。注入单引号*1返回404或500（交替出现，无规律），注入单引号*2正常显示： 由于可能存在混淆情况（前几天就遇到一...

• 8
• 阿斯特 发布于 2024-06-13 09:00

1推荐

29864浏览

使用 ChatGPT获取Web浏览器的XXE(CVE-2023-4357),收获赏金$28000

使用chatgpt生成xxe测试示例获得chrome和苹果浏览器赏金

• 4
• csallin 发布于 2024-06-12 10:00

27推荐

16277浏览

记一次离谱的内存马 GetShell

本文记录了一次在渗透测试中遇到了比较离谱的环境，而安全工具没有覆盖的情况下的处理思路和解决办法，经过一番挣扎和尝试后，最终绕过种种限制获取了 webshell。

• 13
• su18 发布于 2024-06-12 09:00

0推荐

3989浏览

威胁狩猎：DNS 隧道技术用于掩藏C2和VPN以及扩大用户跟踪和网络扫描的范围

威胁狩猎，本文介绍了域名系统 (DNS) 隧道在野外的新应用的案例研究

• 0
• csallin 发布于 2024-06-06 10:15