登陆 注册
  • 性感“注入”,在线“发牌”

    清心清心 2020-06-19

    这是 酒仙桥六号部队 的第 21 篇文章。全文共计2037个字,预计阅读时长7分钟。前言周末的清晨,我在模模糊糊的睡梦中被电话惊醒,发现好多未接视频,连忙的看了一下手机,发现我高中的大美女找我,难道是我的桃花运要来了?赶紧问问她找我干嘛。看来是出事了,先问问她怎么回事吧,虽然说她的诱惑力很大,但总得知道怎么回事吧。据朋...

  • 渗透测试之黑白无常

    清心清心 2020-06-19

    这是 酒仙桥六号部队 的第 20 篇文章。全文共计3002个字,预计阅读时长10分钟。1背景本文是前段时间做过的测试,当时并没有进行截图以及记录,所以本文全篇使用本地搭建环境来复现,如有觉得不合理的地方,可能是本地复现的时候未完全还原真实环境,主要是记录当时在做这个渗透测试的思路。2寻找突破口打开目标网站后,发现是一个博客系统,...

  • 浅谈渗透江湖之细水柔情

    清心清心 2020-06-19

    这是 酒仙桥六号部队 的第 19 篇文章。全文共计4030个字,预计阅读时长12分钟。1前言在渗透测试的江湖里,不只有getshell后在刀光剑影的内网中拿下域控的快意恩仇,更有侧重于业务逻辑的细水柔情。业务安全需要去细腻的考虑方方面面,更偏向于逻辑漏洞的一个思路挖掘。在接到一个待测试目标站点后,不只要对常规漏洞的点去...

  • DNSLOG平台搭建从0到1

    作者:saltor1 前言DNSLOG是一种回显机制,常用于在某些漏洞无法回显但可以发起DNS请求的情况下,利用此方式外带数据,以解决某些漏洞由于无回显而难以利用的问题。主要利用场景有SQL盲注、无回显的命令执行、无回显的SSRF。本文介绍一种搭建DNSLOG平台的方法,旨在为渗透测试提供一些帮助。2 前期准备一个域名,一台vps本文使用的是:阿里云购买的域...

  • 内网横向渗透的常用姿势

    googxxoogoogxxoo 2020-02-15

    横向渗透和内网优势在渗透行动中,目标往往是获得整个内网的控制权,从而发动 APT(高级持续性威胁)攻击。但在更多时候,我们的起点只是一两台通过 0day / 1day 漏洞攻陷的机器。什么是横向渗透横向渗透,就是在已经攻占部分内网主机的前提下,利用既有的资源尝试获取更多的凭据、更高的权限,进而达到控制整个内网、拥有最高权限、发动 APT 的目的在横向渗透中,...

  • 逻辑漏洞 | 密码重置漏洞实战

    聿隐聿隐 2019-11-28

    前言某佬找我共同商议一下某X怎么怼,到头来还是没日下。不过找到了几个漏洞,感觉还行正文一打开一股浓浓的BC彩P味道袭来,is very good !shodan插件看了一下IP和开放的端口康康,0708那么大个字帖在上面,怎么可以不去试试呢扫描模块扫出来的的确是存在的exp一试,凌晨翻水水查一下旁站,没有dirbsearch跑一下,没有什么有用的路径…………...

  • 渗透测试常见点大全分析

    aobokjaobokj 2019-11-28

    大家好,我是Tone,前几天我们字节脉搏的活动获得行业内各家媒体、企业、粉丝的支持,在此我非常感谢各位,相继的奖品和开奖会陆续送出请耐心的等待。此文主要是分析一下常见的web、系统、逻辑漏洞、各行业漏洞常见存在点,马上实习高峰期也要到来,各位有意向做渗透测试的同学请耐心观看,点点再看并转发,谢谢(有所不足欢迎提意见,毕竟我可能是想水一篇)web漏洞sql注入...

  • XSS绕过某盾

    张东张东 2019-11-03

    前言嘿,老伙计!我敢打赌,你知道的这些文章,就像皮特他的老奶奶衣柜里的衣服,总要拿出来晒晒的,至于其他就让他去见鬼吧。waf这款waf更新的很快,年前有个bypass注入的视频,提到waf对cookie检查不严,过段时间waf就更新。我写这种本地测试bypass文章时,总有感觉就是自嗨,这对实战有没有意义,我还记得搞xss绕过,是因为我在x某个webshel...

  • windows中常见后门持久化方法总结

    Hacker毒皇Hacker毒皇 2019-10-06

    前言当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法后门持久化我的操作环境是:无AV、管理员权限(提权、免杀等是后门持久化的铺垫,当然有的方法也并不是全部需要这些铺垫)操作系统:win7,windows server 2008R2,xp...

  • 利用Citrix Receiver浏览器进行渗透

    遇梦遇梦 2019-10-04

    本文目录:Citrix Receiver 简介一:前言二:浏览器利用点2.1 越权/SSRF2.2 文件读取2.3 服务器端工具调用2.4 默认关联打开powershell2.5 生成psc1文件    2.5.1 火狐浏览器getPowerShell   &...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.