多情剑客无情剑_网络安全博客_web安全技术_白帽子工具

多情剑客无情剑

最新更新

对某个无关的bc拿站

阅读(41)评论(0)

这个站点的渗透完全是个意外,只能说这个bc很倒霉碰上了。事情的经过是这样的,这天我正在做项目,突然想到项目有一个同系列的资产,于是我灵机一动想要从旁入手先拿它个源码审一波看能不能跟项目扯上关系。不做不要紧,一做就是直呼好家伙…旗下涉及到的域名就有几十个想了想,算了这个项目都找了好几百个关联资产了,也不差这么几十个。于是,打包域名写了个xray批...

今日新闻

免费黑客技术网站

阅读(64)评论(0)

进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了16个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透 测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!(排名不分 先后)1、bWAPP免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏...

技术实战

【渗透实战系列】|11 - bc站人人得而诛之

阅读(127)评论(0)

涉及知识点:1、bp抓包找注入点2、sqlmap使用3、端口扫描,寻找后台4、目录扫描,寻找可注入页面5、注入获得数据库root权限6、sqlmap写一句话木马7、sqlmap读取文件8、注入获取管理员账号、密码9、域名解析10、thinkphp写马 偶遇一棋牌网站current-user:  developer@%select...

技术实战

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

阅读(159)评论(0)

0X00    事情起因  大街上偶遇预存话费3999送平板被套路,支付宝被一顿操作又套现又转账的把我花呗都套走了。回到家越发越觉得不对劲,越发越后悔,网上一搜关于这类的活动一抓一大把而且一模一样越看是越生气啊。  最主要的呢,送的平板也是八百多的根本不值预存话费的这个价,且居然...

技术实战

【渗透实战系列】|13-waf绕过拿下bc网站

阅读(113)评论(0)

​涉及知识点信息搜集弱口令phpmyadmin拿shell绕过waf,哥斯拉的免杀shell抓密码远程连接cobalt strike留后门痕迹清理 确定目标收集信息x.x.x.x首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。随手加个路径,报错了,当看到这个界面我瞬间就有思路了为什么这么说呢,...

技术实战

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

阅读(126)评论(0)

涉及知识点:信息搜集宝塔面板默认端口和路径管理后台弱口令绕过禁用函数waf,getshellmsf提权frp建立隧道CVE-2018-18955内核漏洞利用 今天朋友突然告诉我,某转买手机被骗了1200块钱,心理一惊,果然不出所料,那我来试试吧。要来了诈骗网站地址,打开是这种:果断收集一下信息:(由于留言骗子返还朋友钱款,暂时给他留点面子,打点马赛...

技术实战

【渗透实战系列】|15-bc网站(APP)渗透的常见切入点

阅读(105)评论(0)

涉及知识点:app抓包,寻找注入点主站注入点,thinkphp框架博彩后台站、库分离主域名前加参数,发现n多,管理页面后台管理登录、寻找上传点 做了不少qp(棋牌),BC渗透了,通宵了2个晚上干了几个盘子,简略的说下过程,做一下总结。首先说一下qp, 以我的渗透成功案例来说的话首先信息收集必不可少的,qp的特点是什么呢?他的后台会在服务器域名的后面...

吾爱论坛大量资源下架,这个全国知名的良心软件下载站也要凉了?

阅读(154)评论(0)

相信关注扩展迷的小伙伴们,应该都对吾爱破解论坛也不陌生。出于各种原因,我们常常会需要用到一些正常渠道很难获得的软件。这主要是因为,搜索引擎搜到的大部分软件,要么没有汉化、要么捆绑了广告,要么就是植入了病毒。而成立于2008年的吾爱破解论坛,因为致力于为用户提供更好的免费软件以供学习交流,因此一直保持着非常优秀的口碑。吾爱由来自五湖四海的软件爱好者们共同维护,...