渗透测试
-
渗透篇|浅谈微信小程序
0x0前言 最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 0x1环境准备 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使用的是6.6….
-
原创 | 一文帮你解决APP抓包难题
点击蓝字 关注我们 前言 在日常渗透过程中我们经常会遇到瓶颈无处下手,这个时候如果攻击者从公众号或者APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和…
-
渗透测试技巧|Everything的利用
前言 早在几年前就有很多apt组织利用everything来进行文件查找等,前几年在T00ls上也有人发过相关的文章,事实上在实战中用到的地方还是很多,而且他还是个白进程,支持命令…
-
渗透篇|web登录通杀
记一次web登录渗透 在渗透测试过程中,碰见的web登录页面特别多,那么我们应该用什么样的思路去进行一个测试呢,下面看看我的一些测试师思路ba 测试思路 当看见一个这样的web登录…
-
第27篇:CSRF跨站请求伪造漏洞挖掘及绕过校验方法
Part1 前言 此案例源于一次对金融系统的漏洞挖掘,主要漏洞点集中在CSRF跨站请求伪造漏洞上,印象比较深。这个系统经过各个厂商N轮测试了,功能点又少,漏洞挖掘的难度很大,但…
-
基于阿里云Kubernetes集群内容器的一次安全测试
背景 本文会从红蓝队两个角度去描述 攻击机操作系统:Windows10,kali linux 被攻击操作系统:k8s集群,容器为centos7 测试框架:dvwa 测试目的:检测阿…
-
gitlab漏洞系列-权限相关漏洞小结
这里主要小结的漏洞类型包含: Privilege escalation improper authentication improper authorization Busines…
-
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
前言(吹水环节) 好久不见,最近很忙,自从工作之后就很少挤出时间来写博客了,每天都是干不完的活,特别是现在的七八月份,Hvv和攻防演练一大堆,我作为底层安服,所以更忙。就在上周,我…
-
我是如何挖到三个SSRF并赚到250美元赏金的
微信公众号:渊龙Sec安全团队为国之安全而奋斗,为信息安全而发声!如有问题或建议,请在公众号后台留言如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 前言 这是HackerO…
-
渗透测试中登录框骚操作总结
由于测试过程中很多系统我们能接触到的只有一个登陆界面,所以要充分挖掘漏洞,进行深入操作 登录 注册 万能密码绕过登录 存在 SQL 注入的情况下,有可能使用万能密码直接登录 adm…