上一页 1 ··· 10 11 12 13 14 15 16 17 18 ··· 47 下一页
2023年2月2日
利用腾讯云函数上线CS
摘要: 首先,我们需要登录腾讯云,开启云函数。登录腾讯云后,搜索云函数。开通即可。初次登录,需要授权。登录控制台后,点击新建。函数名称随意,选择从头开始,环境填Python3.6,选完后下拉,把代码搞里头。复制下面代码,并修改服务器地址。# coding: utf8 import json,requests 阅读全文
posted @ 2023-02-02 13:11 渗透测试中心 阅读(339) 评论(0) 推荐(0) 编辑
SaaS-API越权漏洞检测系统
摘要: 概述通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞特点支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测,避免阻塞支持输出报表与完整的URL、请求、响应安装和使用安装依赖git clone https://github.com/y1nglamore/I 阅读全文
posted @ 2023-02-02 00:53 渗透测试中心 阅读(277) 评论(0) 推荐(0) 编辑
实战还原--从大黄蜂样本到域控管理员技术解析
摘要: 0 前言实战案例还原《BumbleBee Roasts Its Way To Domain Admin》一文详细的描述了一次渗透案例,但其文章组织架构建立在ATT&CK框架上,而不是按照时间线逻辑来组织,因此对于渗透人员了解学习其前后过程有些困难,特此梳理一番,按照时间线还原实战。《BumbleBe 阅读全文
posted @ 2023-02-02 00:41 渗透测试中心 阅读(172) 评论(0) 推荐(0) 编辑
2023年2月1日
内网渗透流水账
摘要: 0x00 环境Linux主机www权限主机无法出外网正向代理无法使用B段内网0x01 收集信息F-Scrack.py获取Redis, ES等PS: Scrack.py的mssql模块爆破不准确,可以自己写一个简单的 python Scrack.py -h 10.111.1.1-10.111.2.25 阅读全文
posted @ 2023-02-01 23:46 渗透测试中心 阅读(176) 评论(0) 推荐(0) 编辑
2023年1月31日
从云服务器 SSRF 漏洞到接管你的阿里云控制台
摘要: 0x00 前言本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建,然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。0x01 环境搭建本文采用 TerraformGoat 进行靶场的搭建,Terr 阅读全文
posted @ 2023-01-31 22:52 渗透测试中心 阅读(310) 评论(0) 推荐(0) 编辑
2023年1月30日
sql盲注快速出数据之超级注入工具
摘要: 一些朋友在群里经常遇到sql注入的问题,有时候有waf、有时候是盲注、有时候不知道如何下手? 今天分享一款工具,名字是超级注入工具 下载地址: https://github.com/shack2/SuperSQLInjectionV1 案例1: 带waf的盲注 如下图,单引号报错,而且有报错回显,这 阅读全文
posted @ 2023-01-30 10:10 渗透测试中心 阅读(899) 评论(0) 推荐(0) 编辑
2023年1月29日
内网渗透之中间人欺骗攻击
摘要: ARP攻击协议简介ARP全称为Address Resolution Protocol,即地址解析协议,它是一个根据IP地址获取物理地址的TCP/IP协议,主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址,收到返回消息后将该IP地址和物理地址存 阅读全文
posted @ 2023-01-29 14:07 渗透测试中心 阅读(362) 评论(0) 推荐(0) 编辑
API安全学习笔记
摘要: 必要性前后端分离已经成为web的一大趋势,通过Tomcat+Ngnix(也可以中间有个Node.js),有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。而API就承担了前后端的通信的职 阅读全文
posted @ 2023-01-29 14:00 渗透测试中心 阅读(1680) 评论(0) 推荐(0) 编辑
2022年12月30日
某微1day后台RCE审计漏洞
摘要: 某应用存在后台RCE,根据相关信息,我们在对后台审计过程,这里发现一处调用newInstance实例化溯源找到InterfaceRegisterCustomOperationCmd #excute访问路径为 /api/integration/workflowflow/getInterfaceRegi 阅读全文
posted @ 2022-12-30 17:02 渗透测试中心 阅读(332) 评论(0) 推荐(0) 编辑
2022年12月13日
vulntarget靶场系列-a-writeup
摘要: 网络配置外网WIN7:ip1: 192.168.127.91/255.255.255.0 ,gw:192.168.127.2 (NAT模式)ip2:10.0.20.98-vmnet1(仅主机模式)域主机成员:10.0.20.99-vmnet1(仅主机模式)10.0.10.111-vmnet2(仅主机 阅读全文
posted @ 2022-12-13 19:18 渗透测试中心 阅读(993) 评论(0) 推荐(0) 编辑
上一页 1 ··· 10 11 12 13 14 15 16 17 18 ··· 47 下一页