某HW行动中的一次渗透测试 扫码领资料获网安教程在某次HW行动中对一个学校的资产进行渗透测试。在其一个智慧校园管理系统发现了一处sql注入。可以看到可以选择以什么身份登陆，而且选择学生登陆的时候，还可以选择年级。抓包看下是否存在... 2024-1-22 12:2:32 | 阅读: 245 | 收藏 | 白帽子左一 渗透 证书 stao 漏洞 c2

从webpack开始发现的漏洞大礼包 前言信息收集贯穿渗透测试的全过程webpack发现后台地址日常SRC发现一个比较偏僻的域名，很有可能存在漏洞。git搜域名没找到源码。顺手翻了下js，发现webpack打包的源码，然后赶紧去搜了搜这个... 2024-1-21 12:3:43 | 阅读: 52 | 收藏 | 白帽子左一 漏洞 渗透 swfupload github webpack

批量刷洞方法，你值得拥有 扫码领资料获网安教程1:通过某空间测绘导出需要的资产，复制带有http协议的资产创建一个txt文本，复制进去直接查找进行替换，https也是一样的找到一个有漏洞的url，抓包发送到Intruder模块... 2024-1-20 12:4:18 | 阅读: 83 | 收藏 | 白帽子左一 漏洞 渗透 payload 挖掘 代理

实战 | js突破拿下整个云 扫码领资料获网安教程本次分享主要是分享一次HC中的思路，值得大家学习，服务器已经交给相关部门进行取证等也已经打包结A了首先给到一个资产是二维码，是一张sese图片里面带有约炮的app下载，扫码后得到如... 2024-1-19 12:3:41 | 阅读: 47 | 收藏 | 白帽子左一 gitlab 漏洞 备份 渗透 flask

记一次任意密码重置漏洞挖掘 扫码领资料获网安教程0x00 简介最近去学着挖洞，涨涨经验和见识。在某个站点挖到了几处任意密码重置漏洞。虽然对大佬们比较简单的漏洞但对于我来说还是值得写下来。0x01 挖掘过程先尝试一下正确的验证码，... 2024-1-18 12:2:27 | 阅读: 31 | 收藏 | 白帽子左一 漏洞 挖掘 渗透 数据 代理

记一次渗透测试遇到远程控制软件的深入利用 扫码领资料获网安教程0x01-弱口令YYDS在做资产梳理的时候发现了一个弱口令http://xxxxxxx:2903/manager/status是Tomcat中间件的后台管理弱口令Tomcat的后台... 2024-1-17 12:1:12 | 阅读: 21 | 收藏 | 白帽子左一 远程 漏洞 渗透 控制

喜迎2024 | 掌控安全学院微专业开年活动 扫码领资料获网安教程转发本文到朋友圈后，扫码即可参与抽奖请保留朋友圈，中奖资格才有效哦！我们正处在一个长经济周期的起点，在这样的大环境下，最近关于网络安全的政策新闻却层出不穷，面面俱到。2023年，人... 2024-1-16 12:2:31 | 阅读: 15 | 收藏 | 白帽子左一 安全 网络 靶场 漏洞

恶意挖矿木马防范指南 扫码领资料获网安教程一、挖矿诞生背景近几年随着全球对虚拟货币的不断炒作，虚拟货币价格水涨船高，除主流比特币外，市场上涌现出了以太坊、莱特币、泰达币、艾达币等多个加密货币。“挖矿”的概念最早出现于中本聪... 2024-1-16 12:2:26 | 阅读: 18 | 收藏 | 白帽子左一 木马 漏洞 网络 攻击

记一次phpstudy后门引发的渗透测试 扫码领资料获网安教程前段时间 phpstudy 被爆出存在后门，想到学校里的许多站都是用 phpstudy 做的环境，于是写了个脚本扫描了下，发现真的有中招的phpstudy 后门扫描写了个简单的脚本... 2024-1-15 12:8:39 | 阅读: 32 | 收藏 | 白帽子左一 phpstudy2 后门 phptutorial 漏洞

记一次webshell的获取 扫码领资料获网安教程像往常一样闲来无事挖src，打开http://t.xxx.com.cn开局就是一个登陆页面在登陆页面测试无果，随手输入http://t.test.xxx.com.cn发现是403页... 2024-1-14 12:2:25 | 阅读: 20 | 收藏 | 白帽子左一 php 漏洞 渗透 htdocs

漏洞复现 | CVE-2023-7028 GitLab 任意用户密码重置 扫码领资料获网安教程GitLab 任意用户密码重置漏洞（CVE-2023-7028）漏洞概述漏洞概述漏洞名称GitLab 密码重置漏洞漏洞编号CVE-2023-7028公开时间2024-01-12影响... 2024-1-13 12:3:40 | 阅读: 44 | 收藏 | 白帽子左一 gitlab 漏洞 616 安全

免杀 | 卡巴斯基引擎另类免杀玩法 扫码领资料获网安教程## 卡巴斯基引擎另类免杀玩法Charlotte是一款基于C++实现的Shellcode启动器，并且完全不会被安全解决方案所检测到。#### 项目地址:https://github... 2024-1-12 18:10:6 | 阅读: 66 | 收藏 | 白帽子左一 病毒 绕过 加密 github hidedir

记针对某单位一次相对完整的渗透测试 扫码领资料获网安教程给了7个IP地址0x01 加载中日常探测端口信息:ipportx.x.x.2228009x.x.x.22320080x.x.x.398008一度以为自己探测的姿势不对，反复调整还是... 2024-1-11 12:3:39 | 阅读: 25 | 收藏 | 白帽子左一 漏洞 端口 渗透 代理 信息

逻辑漏洞背后隐藏的刷票总结 扫码领资料获网安教程说起刷票，可能大家都经常听到这个词，但是网上这种相关的漏洞文章却少之又少，本文将总结个人案例以及生活中碰到的情况汇总成本篇文章，刷票的行为通常是利用逻辑漏洞来实现的，比如通过伪造投... 2024-1-10 12:4:55 | 阅读: 10 | 收藏 | 白帽子左一 chrome 36mozilla windows 绕过 mozilla

nacos相关漏洞学习 扫码领资料获网安教程JWT_Secret_Key硬编码导致的认证绕过漏洞(QVD-2023-6271)不当处理User-Agent导致的认证绕过漏洞(CVE-2021-29441)identity k... 2024-1-9 12:1:11 | 阅读: 12 | 收藏 | 白帽子左一 nacos 绕过 漏洞 8848 渗透

【js逆向实战】RPC+mitm 扫码领资料获网安教程JS分析遇到个需求，网站如下，是一个手机号验证码登录，现在的需求是看看这个验证码有没有锁定策略，很简单只要把发送验证码的包用爆破模块，设置单线程并且每过60秒发送一次就可以但是发现... 2024-1-8 12:4:13 | 阅读: 23 | 收藏 | 白帽子左一 mitmproxy 控制 渗透 漏洞 group1

K8s下的未授权及利用 扫码领资料获网安教程它的未授权主要包括以下几种：API Server,默认端口为8080，6443kubelet，默认端口为10250etcd，默认端口为2379Dashboard面板泄露一、API... 2024-1-7 12:3:41 | 阅读: 15 | 收藏 | 白帽子左一 kubectl kubernetes 端口 集群 容器

实战案例：记一次利用SpringBoot相关RCE漏洞拿下某数字化平台系统 扫码领资料获网安教程前言在一次众测项目中，对某大型企业的某套数字化平台系统进行测试，前端功能简单，就一个登录页面，也没有测试账号，由于给的测试时间不多，倒腾了半天没有发现有价值的漏洞，在快要结束的时候... 2024-1-5 12:3:42 | 阅读: 12 | 收藏 | 白帽子左一 漏洞 actuator 挖掘 信息 routes

Xstream反序列化分析（CVE-2021-39149） 扫码领资料获网安教程前几个月XStream爆出一堆漏洞，这两天翻了翻，发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架，按照XStrea... 2024-1-4 12:2:31 | 阅读: 11 | 收藏 | 白帽子左一 proxy payload 漏洞

蜜罐溯源以及蜜罐HFish的使用 扫码领资料获网安教程蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，... 2024-1-3 12:1:14 | 阅读: 23 | 收藏 | 白帽子左一 蜜罐 漏洞 信息 攻击 jsonp