排序
突破优惠券限制:教育行业渗透打点策略优化与防范”
实验前置必要知识点 利用条件竞争有概率超过应用程序的业务逻辑的某种限制 例如,考虑一个在线商店,它允许您在结账时输入促销代码以获得订单的一次性折扣。若要应用此折扣,应用程序可以执行以...
教育行业的条件竞争优化与抽丝剥茧的渗透测试”
网站的JS文件中通常会泄漏一些接口、URL、子域等信息,更有甚者会泄漏一些敏感信息,如OSS的AKSK等,我们利用泄漏的接口配合未授权访问,可以获取到更多的敏感信息,为后续渗透工作带来便利。本...
HashDump用户追踪:方法与技巧”
Know it Then Hack it,网上dump域用户hash的方式五花八门,少有站在防御者视角对不同的dump方式进行梳理剖析和取证定位的文章,掌握不同dump方式的底层原理才能在EDR对抗时不慌不乱、在应急响...
“Resolute: 实战优化标题域渗透策略”
TCP445未授权 使用smbmap使用置空密码链接,未获取到有用的信息。 漏洞利用 枚举 SMB 用户 使用 enumdomusers 列出用户,然后查询0x1f4的用户信息。
深入剖析红队钓鱼技术:防范与实战策略优化”
钓鱼技术简介 随着安全防护技术水平的提高以及安全设备对攻击行为检测能力的提升,传统WEB攻击手段越来越难以有效突破防守单位的高强度防守。钓鱼攻击逐渐受到红队的重视。与传统的攻击手段相比...
“反制攻击链:防守实战之蜜罐还原策略”
一、蜜罐技术简介 蜜罐技术本质上是一种对攻击方进行欺骗以及反制的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解...
“密码重置到后台GetShell:优化防守实战策略”
1.尝试登录 打开网页,看到一个登录,尝试点击 2.发现提示 Unknown host 3.因为刚开始是用 IP 访问的网站,点击登录按钮为域名访问该网站,猜测可能使用域名访问不了,于是把域名改为IP加上后.....
“实战指南:外网突破优化策略”
1.1、heapdump泄露 通过对供应商资产进行渗透,发现某资产admin目录下存在heapdump文件泄露 1.2、微信小程序接口未授权 1.2.1、微信小程序解包 想要对微信小程序进行解包操作,首先是要获取目标...
“实战经验分享:与SRC厂商对决,突破外网安全并获得丰厚赏金”
前言 身为一个菜狗,当然想去src厂商哪里挖掘漏洞,获取赏金得到激励。于是乎,我去补天哪里随便找到一个厂商就开始了我的漏洞挖掘。(注:以下漏洞厂商已修复) 一、信息收集 通过爱企查,查找...
“提升渗透技能:从子域名接管到RCE的实战经验分享”
搭建过程 web配置2个网卡,网卡0/0,22/0这2个网卡。 192.168.0.116 192.168.22.152 data配置22网卡和10网卡。 192.168.22.146 10.10.10.136 web打点 先去测试网络连通性。 目录扫描 然后扫描该...
lu76853y 8天前0
谢谢楼主分享l657832597 11天前1
闪退,打不开诶l657832597 11天前1
买了下不了啊weiye00 11天前0
我也是买了领不了、F000R 11天前0
11144444Aphrodite0000 12天前1
买了怎么领不了给你的爱一直很安静「魔法师」 23天前0
还需要嘛?在我的哔哩哔哩哪里有代码给你的爱一直很安静「魔法师」 1个月前1
不好用找你了波