Loading

摘要: 本文介绍在Java Web开发过程中可能存在SQL注入的一些场景 阅读全文
posted @ 2021-11-15 20:40 don0t 阅读(905) 评论(0) 推荐(0) 编辑
摘要: 辅助BurpSuite漏洞测试工具,添加常见payload,并支持基础的扫描能力 阅读全文
posted @ 2021-06-21 10:51 don0t 阅读(1092) 评论(0) 推荐(0) 编辑
摘要: 针对CobaltStrike中出现的Stager监听端口特征后门分析和处理方式 阅读全文
posted @ 2021-01-03 20:29 don0t 阅读(1766) 评论(0) 推荐(0) 编辑
摘要: 如何快速的获取微信Windows客户端数据库秘钥Key 阅读全文
posted @ 2020-12-25 11:45 don0t 阅读(1344) 评论(0) 推荐(0) 编辑
摘要: 本文主要从技术角度探讨某次渗透目标拿取数据的过程,不对目标信息做过多描述,未经本人许可,请勿转载。今年开年以来由于各种原因,自己心思也不在渗透上,没怎么搞渗透,除了这次花了比较长时间搞得一个目标外,就是上次护网打了一个垃圾的域了。本文要描述的渗透过程由于断断续续搞了比较长的时间,中间走了不少弯路耽误了不少时间。 阅读全文
posted @ 2020-11-09 16:19 don0t 阅读(1198) 评论(0) 推荐(0) 编辑
摘要: 由企业外网到内的攻击入侵问题可以用点面线问题来进行概述,本文讲解该问题。 阅读全文
posted @ 2020-11-03 15:48 don0t 阅读(998) 评论(0) 推荐(0) 编辑
摘要: 密码和口令是通往权限和控制效果的重要途径,通过获取目标的重要系统口令或口令设置规律,能够有效的实现横向移动和重要的权限提升,因此密码/口令在渗透测试过程中被作为重点关注对象,比如在我们获取某目标系统的Webshell时,往往会第一时间查看数据库配置文件获取数据库账号密码,进而可以有效的访问系统数据。那么除了通过配置文件的方式获取密码外,在渗透测试的过程中还有哪些途径可以获取此类密码呢 阅读全文
posted @ 2020-05-03 16:30 don0t 阅读(993) 评论(0) 推荐(0) 编辑
摘要: 各种隐藏C2 Server的方式众多,其中Domain Fronted域前置的方式在2016年低被提出,近些年一直被大家研究利用,本文将结合实践对该技术再次进行介绍,弥补目前网上资料的一些不完整的地方。 阅读全文
posted @ 2019-12-17 18:50 don0t 阅读(2080) 评论(0) 推荐(0) 编辑
摘要: 本文主要记录我在Web漏洞扫描器实践过程中的一些思考,篇幅较长,没有图片,都是文字性叙述,大多结论、论述来自自己的思考、近些年的所见所闻、朋友的交流等,肯定有很多不全面、错误的地方,欢迎指教与交流。 阅读全文
posted @ 2019-12-16 18:22 don0t 阅读(890) 评论(0) 推荐(0) 编辑
摘要: 2018.12.10晚上,看到有人发tp5命令执行,第一眼看到poc大致猜到什么原因,后来看到斗鱼src公众号的分析文章。这里分析记录一下。 阅读全文
posted @ 2019-12-16 16:39 don0t 阅读(813) 评论(0) 推荐(0) 编辑