首页
首页
AI Coding
NEW
沸点
课程
直播
活动
AI刷题
APP
插件
搜索历史
清空
创作者中心
写文章
发沸点
写笔记
写代码
草稿箱
创作灵感
查看更多
会员
登录
注册
安全白板
掘友等级
网络安全使者,学习网络安全技术
获得徽章 0
动态
文章
专栏
沸点
收藏集
关注
作品
赞
15
文章 15
沸点 0
赞
15
返回
|
搜索文章
赞
文章( 15 )
沸点( 0 )
【漏洞实战】某网站JS文件泄露导致拿到服务器权限
某站点JS文件泄露后台接口导致Get Shell 1、首页是这样子滴,爆破弱口令无果后。 2、开始审计js代码;这一步我不知道新手会不会。一般右击网页->点击检查就会出现下面这种界面。一般都用的是火
记一次通过供应链拿到目标后台权限的过程
重要说明 本文中涉及到的所有操作均得到了客户单位的授权,并且在漏洞修复后得以公开。请勿在未授权状态下进行任何形式的渗透测试!!!! 漫长的探索 某天,接到一个任务,要求对某医院的信息系统做一次安全检测
僵尸网络之如何防护DDoS攻击,愿这个世界再无黑产
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 大家好,最近看到国外有一篇和僵尸网络有关的文章,今天分享给各位。 当然,我们面对DDoS当然是可以防御的,就比如云清洗。我写这篇文章的目的是为
某设备产品漏洞挖掘-从JS文件挖掘RCE
前言 某次渗透过程中碰到了个设备产品,通过一些黑盒测试小技巧获取目标权限 信息收集 首先拿到了目标,同样也需要对设备进行信息收集,登录页面有滑块验证和账号密码请求包加密 暂时先放弃从JS里获取密码加密
某IP设备代码审计
偶尔看到一个设备的漏洞挖掘。尝试也看了一下代码。如下: 参考:https://my.oschina.net/u/5242808/blog/5321045 漏洞一、任意文件上传 URL:/upload/
一次TP测试
一、简单的信息收集 尝试路径报错,获取目标版本和配置信息。 版本为5.0.5,开启debug。 直接执行payload,宝塔拦截 尝试post执行paylaod 成功执行,php5的assert默
一次某大学sql注入到getshell
前言 目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复 sql注入getshell失败 在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤
【Web安全】浅谈反向代理技术
本篇侧重点为反向代理技术,从攻击者视角洞察安全运维习惯,当然,在此之前,我们得先来再完整熟悉下代理技术。 目前大家提到的代理技术无外乎三种:正向代理、透明代理和反向代理,以下我们以B/S架构为例简单介
【WEB安全】flask不出网回显方式
前言 研究这个问题主要是打比赛的时候遇到了,题目内容大概是这样的【查看资料】 可以看出来是个简单的pickle反序列化,这不是本次的重点,重点是这道题在eval后如何回显,最简单的方式想到的是反弹sh
【Web安全】JSP内存马研究
前言 最近在研究webshell免杀的问题,到了内存马免杀部分发现传统的Filter或者Servlet查杀手段比较多,不太容易实现免杀,比如有些工具会将所有注册的Servlet和Filter拿出来,排
下一页
个人成就
文章被点赞
307
文章被阅读
206,625
掘力值
7,160
关注了
0
关注者
97
收藏集
0
关注标签
7
加入于
2021-06-27