记一次登录框0-1渗透突破
记录一次公司渗透项目0-1 突破登录框案例,操作简单但思路足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述
- 25
- 22
- 一天要喝八杯水
- 发布于 2026-03-18 16:53:10
- 阅读 ( 5641 )
一天要喝八杯水
dota_st
业务视角下的金融SRC快速挖掘思路
挖掘金融类漏洞的核心不仅仅是技术点本身,更需要深入理解业务链路、资金流转规则、风控策略与账户体系,从而在“设计缺陷”中找到突破点。本文总结梳理常见的金融逻辑漏洞类型及关键节点的可利用点,帮助安全人员深入理解这些场景,快速定位高价值逻辑漏洞大大提升漏洞挖掘效率和准确度,减少资损信息泄露等高危问题的发生。
- 28
- 21
- hyyrent
- 发布于 2025-12-24 09:00:01
- 阅读 ( 5001 )
hyyrent
实战 | 对自己学校内网的渗透测试
一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。
- 24
- 21
- 越南王子
- 发布于 2024-08-20 14:32:36
- 阅读 ( 12119 )
越南王子
大力出奇迹—从目录爆破到getshell
某日在做一个渗透测试项目,但是没有任何收获,这怎么能给领导交差呢?于是只能加班加点进行测试,终于在我大力出奇迹的干法下,拿到了一个shell。
- 23
- 21
- 苏苏的五彩棒
- 发布于 2022-04-12 09:41:38
- 阅读 ( 26798 )
苏苏的五彩棒
【万字】一文读懂Android APP抓包和反编译&frida脱壳&APP单/双向认证&Root隐藏绕过技巧
这篇文章主要是写AndroidAPP抓包和反编译&frida脱壳&APP单/双向认证绕过技巧相关的,总字数有一万字了。emmm之前学习安卓APP抓包,包括最近做APP的众测项目多,所以这里抽几天时间给师傅们分享下相关文章,因为网上这方面总结的文章很少,都是很多年前比较老的文章了,所以就想着分享一篇Android APP相关文章。
- 35
- 20
- routing
- 发布于 2025-11-21 09:50:36
- 阅读 ( 14045 )
routing
一洞百分-记一次意外的通杀之旅
前言 小白初入渗透,想获得一个教育SRC的漏洞证书,觉得某学院是比较好看的,而且只需要10rank,不是很多,对我这个小白很友好,因此就开始了本次的渗透之路(意外的收获了小通杀)。 目标搜集...
- 25
- 20
- quanqi
- 发布于 2023-05-22 09:27:24
- 阅读 ( 16056 )
quanqi
【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈
案例挑选以往攻防、SRC、渗透项目报告有启发性报告形成文章供各位读者师傅学习,漏洞思路并不局限于接口测试,利用现有信息打出组合拳也是不错的选择
- 16
- 19
- 一天要喝八杯水
- 发布于 2026-03-18 16:49:10
- 阅读 ( 4666 )
任意用户登录漏洞挖掘思路
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。
- 37
- 19
- 中铁13层打工人
- 发布于 2023-11-20 10:00:00
- 阅读 ( 16088 )
中铁13层打工人
这个SQL注入有点东西
最近遇到了几个比较有意思的SQL注入,跟各位师傅们分享一下思路和注入方式。
- 24
- 18
- 薛定谔不喜欢猫
- 发布于 2025-07-10 09:00:01
- 阅读 ( 10353 )
浅谈Webpack导致的一些问题
webpack的打包方便了我们,却也因为他的特性,使网站也存在了一些安全问题......
- 19
- 17
- TUANOAN
- 发布于 2022-07-13 09:52:50
- 阅读 ( 21090 )
小程序Web接口速通案例
很早前GS测试小程序案例,基本没有难点都是先有信息联想从而扩大危害形成一个合集分享发出,案例从易到难,功能点找到接口文档或者Web缺少token反推小程序业务普通用户权限
- 12
- 16
- 一天要喝八杯水
- 发布于 2026-03-26 09:52:12
- 阅读 ( 3924 )
SRC 视角下:渗透测试中的逻辑漏洞思路博弈
最近挖到的中高危漏洞,既没靠 `0day` 这种 "王炸",也没搞复杂利用链 "炫技",纯靠瞪大眼睛当 "人肉扫描器",连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午,随手改了个藏在 `JSON` 数据深处的小参数,系统突然像短路反馈了全新的信息,反常的响应直接暴露未授权访问的 "马脚"。当时激动得差点把咖啡泼到键盘上,看着满地咖啡渍才顿悟 —— 原来倒掉的咖啡,比直接喝咖啡提神一百倍
- 11
- 16
- 一天要喝八杯水
- 发布于 2026-03-18 17:21:32
- 阅读 ( 11192 )
记一次任意文件下载(尝试Getshell未果)
有请今天的主角登场,不难看出这是一个招聘系统 1.先尝试注册
- 10
- 16
- C01D
- 发布于 2023-02-17 16:19:55
- 阅读 ( 13873 )
C01D
yier
注入起手联想启发Web收菜之旅
SRC不慎打偏忽略案例,备案企业虽然是子公司但控股资产不足该SRC收录资产标准,后续回望报告也发现不算复杂真在收取范围的话也可能被其他师傅交过,故发出整个过程进行分享
- 10
- 15
- 一天要喝八杯水
- 发布于 2026-03-27 10:01:47
- 阅读 ( 3834 )
企业管理类系统常见漏洞挖掘指北
在银行、证券、金融等行业,普通存在类似erp的面向企业侧的各种管理、采购、供应商等等系统,本文总结梳理该类系统特有的一些常见漏洞
- 18
- 15
- 中铁13层打工人
- 发布于 2025-11-14 10:00:02
- 阅读 ( 5465 )
记一次绕过阿里云waf与某不知名waf的双waf上传getshell
本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell
- 21
- 15
- 张三一号
- 发布于 2025-01-23 10:00:01
- 阅读 ( 11642 )