web安全

代码审计入门之java-sec-code(一)

代码审计入门之java-sec-code(一)
1.介绍 对于学习JAVA代码审计的同学来说,java-sec-code是一个不可多得的学习靶场,根据作者的介绍每个漏洞类型代码默认存在安全漏洞(除非本身不存在漏洞),相关修复代码在注释里,具体可查看每个漏洞代码和注释。 2.安装 项目地址https://github.com/JoyChou93/java-sec-code/ java-sec-code是由j……继续阅读 »

jianxin 1个月前 (10-30) 58浏览 0评论 31个赞

web安全

细说渗透江湖之柳暗花明又一村

细说渗透江湖之柳暗花明又一村
这是 酒仙桥六号部队 的第 3 篇文章。 全文共计3684个字,预计阅读时长10分钟。   背景 某年的某个夏天,某医院需要做攻防演练,而且是全仿真的演练,只有客户名,没有任何资产信息。时间紧,任务重,于是我们兵分两路,一波人在远程从外围突破,我和另一个小伙则踏上了旅途,准备从内……继续阅读 »

jianxin 1个月前 (10-20) 72浏览 0评论 9个赞

web安全

任意文件下载漏洞

任意文件下载漏洞
简介:¶ 很多网站由于业务需求,会给用户提供一些文件下载的地方,例如一些附件下载的地方,如果此时文件下载是通过路径的方式提供下载,并且路径参数是前端提交数据包到后端的,那么恶意用户就可以修改路径从而下载服务器的一些敏感文件或者网站源码等,对服务器进行进一步的攻击 漏洞原理实例:¶ 某网站附件下载处存在如下链接: http://example.com/dow……继续阅读 »

jianxin 1个月前 (10-17) 44浏览 0评论 2个赞

未分类

渗透测试岗位面试题多人实战大汇总

渗透测试岗位面试题多人实战大汇总
面试经验总结 经过我对多个小伙伴的面试过程及结果分析,发现有很多人总喜欢说这个不怎么了解那个不怎么了解,如果你什么都不了解还来面什么试啊,所以切记,在面试过程中如果问到了你不会的技术问题,千万不要说这个不怎么了解,你可以说一些相近的东西,如果什么都想不到就说暂时想不起来了,千万不要表现出你什么都不会的样子,因为这样就算面试官不说什么你也自己先把自己给否掉了,……继续阅读 »

jianxin 7个月前 (05-17) 27浏览 0评论 0个赞

web安全

记一次tp5.0.24非法网站渗透

记一次tp5.0.24非法网站渗透
记录一下tp5.0.24,感觉此站应该是阉割版,按理来说tp5.0.24应该没有rce的。 网站是非法站点,不用担心未授权。 还是先报错一手,发现是5.0.24的,当时想应该没有希望了,但是还是抱着试一试的心态,用exp打一打 _method=__construct&method=get&filter[]=call_user_func&a……继续阅读 »

jianxin 8个月前 (04-10) 46浏览 0评论 0个赞

软件开发

狗蛋扫描器

狗蛋扫描器
狗蛋扫描器 端口扫描;目录扫描;旁站查询;字典生成;编码转换 兼容平台:windows7/8/10/xp/03/08/server xp/03/08可能需要手动安装.net framework 链接: https://github.com/hackerjainxin/dogegg ……继续阅读 »

jianxin 8个月前 (03-31) 56浏览 0评论 1个赞

移动安全

实战对某棋牌app渗透测试

实战对某棋牌app渗透测试
某天接到任务,要测试一个app。只扔过来一个链接,其余什么都没有。 就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到模拟器测试。 模拟器打开如下: 点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌a……继续阅读 »

jianxin 10个月前 (02-14) 46浏览 0评论 0个赞

web安全

看我如何拿下pua论坛以及服务器!

看我如何拿下pua论坛以及服务器!
pua我想各位黑阔都知道吧,“爱情捷径”,在网上搜索pua竟然搜到了一个论坛,看样子站还不小有vip机制,会员有几千个。这么多渣男我酸了。看到这个单身这么多年的我当然要学习学习了。但又不想付费来开会员,所以开干吧。 全程打码(不要问为什么问就是黑阔太多) 声明:文章先发到了t00ls,所以不要说什么转载搬砖什么的话了。 首先看站: 看到没有竟然这么吊。论坛……继续阅读 »

jianxin 11个月前 (12-31) 46浏览 0评论 0个赞

web安全

风花雪月之又一“楼凤”沦陷

风花雪月之又一“楼凤”沦陷
想睡觉忽然发来一个邮件,邮件内容:xxxxxxx. 打开看了一下url: 我曰NM还让不让人睡了。burp搞起。发现cookies并不能进去失效。应该是验证。 通过cookies内容有新发现: 我日,这不是xx吗,解密一下:123456.我日这么吊?为什么密码会是这个,首先这个站有注入,asp+sqlserver。但后台你是找不到的,后台地址****。……继续阅读 »

jianxin 1年前 (2020-10-31) 39浏览 0评论 0个赞

web安全

传X盘刷钱

传X盘刷钱
不知道社区还有转正这个功能,今天上号提示账号即将到期。看了一下规则,要发一个转正申请的文章。必须是实战。那没办法了来吧。 首先说明:这个文章以前在圈子发过然后py交易管理删了,有点敏感。不过一段时间过去了那个站已经修复了,所以重发一下用来转正。那篇文章当时在社区发的时候我转到博客了所以有圈子的水印(本人旧贴)。然后本人当时并没有利用这个东西搞一些东西。thi……继续阅读 »

jianxin 1年前 (2020-09-30) 49浏览 0评论 0个赞