摘要: 前天,与朋友聊起威胁情报的话题,顺手就搜索整理了一下国内外的威胁情报平台。在这里分享几个威胁情报平台,可通过查询获取威胁情报参考数据。 01、国内威胁情报平台 1、微步在线 https://x.threatbook.cn/ 2、天际友盟RedQueen安全智能服务平台 https://redquee 阅读全文
posted @ 2025-01-18 13:43 CN-SEC中文网 阅读(60) 评论(0) 推荐(0) 编辑
摘要: 探寻SRC漏洞平台 SRC(Security Researcher Acknowledgement Program)是各大互联网厂商开启的漏洞发现奖励计划,也就是我们常说的漏洞赏金计划(bug bounty),旨在鼓励广大的安全研究人员积极发现厂商产品或服务安全漏洞并向厂商提交漏洞报告,帮助厂商修补 阅读全文
posted @ 2025-01-18 13:41 CN-SEC中文网 阅读(107) 评论(0) 推荐(0) 编辑
摘要: 1、工具介绍 基于 https://github.com/yhy0/ExpDemo-JavaFX 上添加poc 2、工具下载链接: 工具下载:工具下载 3、新增检测漏洞 用友NC-Cloud系统接口getStaffInfo存在SQL注入漏洞 用友U8-Cloud ReleaseRepMngActio 阅读全文
posted @ 2025-01-18 13:39 CN-SEC中文网 阅读(31) 评论(0) 推荐(0) 编辑
摘要: 大致流程 手机号等数据被加密,通过逆向找到加密方式—>对手机号加密发送验证码—>手机带着标识值给服务器—>服务器会给手机重新生成一个标识值—>利用服务器重新生成的标识值再发送给服务器 挖掘流程 逆向找出加密方式及密钥 通过断点逆向找出加密方式及密钥 AES-ECB加密 U0Xg55zo9-TglUj 阅读全文
posted @ 2025-01-18 13:31 CN-SEC中文网 阅读(33) 评论(0) 推荐(0) 编辑
摘要: 0x1 前言 某次众测,在测试过程中,发现平台在用户身份验证机制上的关键缺陷,导致仅需获取目标用户的用户名和手机号,即可实现任意用户密码的修改。这一问题显然暴露了平台在身份认证设计中的重大安全隐患。 这一漏洞的利用门槛相对较低,攻击者可以通过社会工程学或公开信息获取目标用户的基本信息,然后直接发起攻 阅读全文
posted @ 2025-01-18 13:28 CN-SEC中文网 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 某公交管理系统挖掘 SQL注入漏洞 前台通过给的账号密码,进去 按顺序依次点击1、2、3走一遍功能点,然后开启抓包点击4 当点击上图的4步骤按钮时,会抓到图下数据包,将其转发到burp的重放模块 构造以下注入poc,可见注入延时了五秒,用户输入的语句成功拼接到原有的SQL语句上执行了 下面的poc是 阅读全文
posted @ 2025-01-18 13:24 CN-SEC中文网 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 前言 上个月根据领导安排,需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试,网络和安全设备的使用和部署情况,以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容,而且客户这边刚刚做过了一次等保测评,算一下时间这才几周不到,又来进行测试,实在是怕没 阅读全文
posted @ 2025-01-18 13:21 CN-SEC中文网 阅读(6) 评论(0) 推荐(0) 编辑
摘要: 0x00 简介 HFish是一款社区型免费蜜罐。 下载地址 HFish下载: HFish下载 0x01 功能说明 支持多种蜜罐服务 支持自定义Web蜜罐 支持流量牵引 支持端口扫描感知能力 支持多种告警方式 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者 阅读全文
posted @ 2025-01-18 13:08 CN-SEC中文网 阅读(6) 评论(0) 推荐(0) 编辑
摘要: 0x00 简介 webshell-decryptor是一款通过获取到的webshell流量、url、key来还原攻击者使用webshell所做操作的工具。 下载地址: webshell-decryptor下载: webshell-decryptor下载 0x01 功能说明 支持冰蝎 还原攻击者行为, 阅读全文
posted @ 2025-01-18 13:02 CN-SEC中文网 阅读(2) 评论(0) 推荐(0) 编辑
摘要: 0x00 简介 Hashcat是一款强大的密码破解工具。 下载地址 Hashcat下载: Hashcat下载 0x01 功能说明 直接破解 组合攻击 掩码暴力破解 混合攻击 联合攻击 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任 阅读全文
posted @ 2025-01-18 12:57 CN-SEC中文网 阅读(21) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示