上一页 1 ··· 21 22 23 24 25 26 27 28 29 ··· 49 下一页
2022年1月6日
疯狂暗示!一次对某色情app的渗透
摘要: 0x01 前言 找到某色情app的界面 看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!! 0x02 渗透过程 于是将app放到虚拟机,通过抓包拿到其真实域名 然后利用bp的爬虫爬到一处api接口 提示参数缺失 fuzz一波参数 http://www.xxxxxxx.cn/api/in 阅读全文
posted @ 2022-01-06 10:43 渗透测试中心 阅读(2388) 评论(0) 推荐(0)
逐个击破!拿下学校核心系统
摘要: 0x01 前言 由于疫情问题,学校的易班APP新增了打卡系统,每天需要进行晨检,午检打卡,忘记的话就是上千字检讨 本人对于这种“形式主义”深感不满,适逢最近成立了网络安全战队,于是准备操作一番 0x02 踩点 基本的信息搜集咱们就不多说了 因此不同系统使用了不同的多台服务器 看样不能一劳永逸,需要各 阅读全文
posted @ 2022-01-06 10:42 渗透测试中心 阅读(699) 评论(0) 推荐(0)
实战渗透!我是如何一个破站日一天的
摘要: 0x00 使用关键词得到目标源码 某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集中间件: IIS 8.5输入admin发现自动添加了/说明其目录存在,那么盲猜一波文件,login.aspx default.aspx main. 阅读全文
posted @ 2022-01-06 10:40 渗透测试中心 阅读(1865) 评论(0) 推荐(0)
对非法网站的一次提权
摘要: 0x01 收集信息 因为主要想练习sql注入,所以信息收集做的比较简单: 通过fofa找到相关cms,这里发现棋牌后台登录处存在SQL注入漏洞 0x02 漏洞利用 1.利用sqlmap一把梭,并获取os-shell 2.利用python搭建一个简单的http服务器,并挂载MSF生成的后门文件 pyt 阅读全文
posted @ 2022-01-06 10:39 渗透测试中心 阅读(785) 评论(0) 推荐(0)
2021年12月27日
一兄弟被坑,我渗透进某BC的杀猪盘经历
摘要: 一、事情的起因 这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦. 当然,毕竟是杀猪盘,即便是拿下也不能把钱追回 二、信息收集 二、信息收集 拿到目标网站,可见是一个很常规的bc站,而且做的有点low逼。 先进行简单的信息收集 通过Wappalyzer插件可见php版本与win 阅读全文
posted @ 2021-12-27 14:42 渗透测试中心 阅读(1063) 评论(0) 推荐(0)
简单绕过waf拿下赌博网站
摘要: 确定目标收集信息x.x.x.x首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。随手加个路径,报错了,当看到这个界面我瞬间就有思路了为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的upup 阅读全文
posted @ 2021-12-27 13:34 渗透测试中心 阅读(1997) 评论(0) 推荐(1)
某大学渗透实录
摘要: 0x01 信息搜集 首先给定的目标为 xxx 大学官网:www.xxx.edu.cn,但是不要真的就只是对主站进行测试了,一般像这种主站都是比较安全的,大概率采用一些站群系统,像学校很多使用博达的统一管理,自带 waf 1.子域名采集 可以通过 subdomain3,fuzzdomain,subDo 阅读全文
posted @ 2021-12-27 11:30 渗透测试中心 阅读(4788) 评论(0) 推荐(1)
深入诈骗团队
摘要: 最近接到任务,调查一个诈骗团伙上面有一个注册接口,直接先注册一个用户看看他们怎么诈骗的好家伙,用户赚了8个亿,充值过的用户直呼内行。这种站点一看就是那种诈骗团伙的杀猪盘,使用的那种tp5的框架一键搭建,方便又省事。后来根据报错信息的确是tp5.0.10的框架还开了debug模式,老杀猪盘了。直接先用 阅读全文
posted @ 2021-12-27 10:37 渗透测试中心 阅读(1752) 评论(0) 推荐(1)
2021年12月24日
2021第二届“天翼杯”网络安全攻防大赛writeup
摘要: Web 1.esay_eval <?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } clas 阅读全文
posted @ 2021-12-24 17:04 渗透测试中心 阅读(1620) 评论(0) 推荐(0)
2021年12月23日
第五届强网杯全国网络安全挑战赛writeup
摘要: Web1.[强网先锋]寻宝下发赛题,访问链接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charse 阅读全文
posted @ 2021-12-23 17:40 渗透测试中心 阅读(6902) 评论(0) 推荐(0)
上一页 1 ··· 21 22 23 24 25 26 27 28 29 ··· 49 下一页