排序
谈一谈红队种的钓鱼姿势(下)
本文详细分析了YL行业的网络环境特点及针对其发起的钓鱼攻击策略。探讨了不同级别的网络架构下如何实现有效的钓鱼操作,并提供了解决方案和实战技巧。
1年前攻防实战,进入某校内网
This article discusses the process of penetration testing a school's internal network, including target selection, information collection, and asset mapping. Ke
1年前谈一谈红队钓鱼中的姿势(中)
Explore advanced red team tactics for educational sectors focusing on JY and ZW industries. Learn about target selection, information gathering, privilege maint
1年前记一次渗透测试过程中碰到的Symfony框架的利用
本文详细记录了一次渗透测试中针对启用debug模式的Symfony 2.8.34框架进行的利用过程,探讨了命令执行、配置文件访问以及权限绕过的具体方法和经验教训。
1年前记一次GPU服务器挖矿事件应急响应
本文详细记录了一次针对GPU服务器的挖矿事件应急响应过程,包括排查异常IP、进程分析及恶意文件查找等关键技术步骤。
1年前GraphQL API 漏洞的常见攻击方法总结
Explore the common attack methods on GraphQL APIs and learn about securing your system with best practices. Discover how to protect against vulnerabilities in t
1年前记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析
This article details an interesting experience of discovering a file upload vulnerability during an OA system penetration test. It covers the process from initi
1年前记一次某道CMS审计过程
本文详细记录了一次对X道CMS v20.1.1版本的源码审计过程,包括上传文档功能中的SQL注入漏洞利用方法。通过Burpsuite抓包和表单数据处理等技术手段进行分析,旨在帮助读者理解代码审计流程及常见...
1年前实战-关于KEY泄露API接口利用
本文详细探讨了关于API接口利用的关键点,包括微信公众号AppID+AppSecert、小程序Appid+AppSecert和高德地图ApiKey的利用方法与风险。
1年前获取Telegram的用户IP地址
Discover how to retrieve a Telegram user's IP address using the STUN protocol. Learn about voice call-based IP extraction techniques and follow step-by-step ins
1年前『渗透测试』electron投毒简介
了解Electron框架中的投毒技术及其原理,通过Typeora案例展示如何在ASAR文件中植入恶意代码。适用于网络安全、技术研究领域专业人士学习参考。
1年前利用文件读取加条件竞争Getshell
本文详细介绍了通过任意文件读取漏洞结合条件竞争技术获取shell的过程。作者Notadmin分享了具体的技术细节和实操步骤,适合安全研究人员学习参考。
1年前