9推荐

12587浏览

记一次SQL注入绕过宝塔+云waf

话不多说，上干货

• 16
• 陌离sg009 发布于 2023-12-27 09:00

10推荐

9946浏览

非常规环境下编辑器的一些Bypass思路

在一些非常规环境下编辑器不固定路径，往往漏洞在后台，为了完成渗透任务，如何出一些未授权的漏洞或者Bypass？ 在一些众测项目、运营商项目、攻防比赛中，经常遇到内容管理系统，然而这样的web使用到eweb、ue等编辑器可能性很大，但常常做了一些优化，如二改、修改路径、做了策略限制，于是总结了一些Bypass

• 12
• echoa 发布于 2023-12-26 09:00

4推荐

15943浏览

一次cs样本免杀实践

本文记录笔者使用常见默认配置的``cobaltstrike shellcode``免杀的尝试，构造自己的shellcodeloader加载对应的shellcode实现对常见杀软查杀绕过，实现了对一些常见杀软的绕过，免杀效果还算不错；最后给出来了些对抗文中所使用免杀手段的方法和思路；

• 11
• Ga0WeI 发布于 2023-12-25 14:41

6推荐

9804浏览

edusrc漏洞笔记（逻辑篇）

刚接触挖洞的时候记录的一些漏洞，全文比较基础，各位大佬轻喷

• 12
• 陌离sg009 发布于 2023-12-21 09:27

4推荐

8865浏览

记一次前端加解密到sql注入过waf的实战

记一次前端加解密到sql注入过waf的实战

• 5
• 开车开车 发布于 2023-12-18 10:00

14推荐

15902浏览

红队外网打点实战案例分享

本文将分享一系列红队外网打点实战案例，素材内容来源于之前参加的HVV比赛和红队检测项目，通过深入剖析攻击技术去探索红队渗透测试的最佳实践，不足之处烦请各位师傅指点交流！

• 32
• hyyrent 发布于 2023-12-15 09:00

11推荐

12115浏览

实战 | 记某次攻防演练钓鱼专项

由客户授权，组织一场钓鱼攻防演练专项，以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成，通过附件携带木马以及制作钓鱼页面来骗取敏感信息两个角度来进行测试，最后效果不错，完美收工，且听我娓娓道来。

• 12
• 小艾 发布于 2023-12-14 10:27

1推荐

8778浏览

浅谈SpringWeb中获取当前请求路径的方式

在实际业务中，为了防止越权操作，通常会根据对应的URL进行相关的鉴权操作。浅谈SpringWeb中获取当前请求路径的方式。

• 3
• tkswifty 发布于 2023-12-11 09:00

27推荐

19353浏览

验证码渗透最全总结

对于图形验证码以及短信验证码的总结

• 58
• balala4533 发布于 2023-12-05 10:00

12推荐

13572浏览

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

• 15
• ekkoo 发布于 2023-12-05 09:00

0推荐

8223浏览

【Web实战】新手入门java审计

jsherpcms审计 环境搭建 源码：https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户：jsh，密码：123456 sql注...

• 4
• 永安寺 发布于 2023-12-04 09:00

0推荐

17254浏览

【Web实战】内存免杀-Ekko项目解读

通过分析Ekko项目了解内存加密过程，这对对抗内存扫描来说很重要。

• 2
• ring3 发布于 2023-12-01 10:00

42推荐

14335浏览

【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点

在某头部直辖市的攻防演练中，各家安全厂商投入了大量人力物力...而我方基本未做准备，只有小米加步枪，且看如何不用0day如何连下数城

• 37
• J0o1ey 发布于 2023-12-01 09:00

5推荐

24145浏览

新手向某CMS的Java反序列链学习

Github上偶然发现某系统存在Java反序列化漏洞，在编写反序列化链的过程中踩了一些坑，并且这个漏洞最终的触发方式也比较特殊，本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写，初学者通过本文也可以了解一下Java反序列化链的原理。

• 4
• 中铁13层打工人 发布于 2023-11-30 10:00

12推荐

10627浏览

【Web实战】一次从子域名接管到RCE的渗透经历

一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历，从子域名接管到上传Shell提权，将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理...

• 11
• 考不过刘乐琪不改名 发布于 2023-11-29 09:00