记一次小程序测试

一个简单的小程序渗透过程记录，大佬勿喷！

• 16
• 20
• 江南小虫虫
• 发布于 2021-12-20 09:34:56
• 阅读 ( 17569 )

【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈

案例挑选以往攻防、SRC、渗透项目报告有启发性报告形成文章供各位读者师傅学习,漏洞思路并不局限于接口测试，利用现有信息打出组合拳也是不错的选择

• 17
• 19
• 一天要喝八杯水
• 发布于 2026-03-18 16:49:10
• 阅读 ( 4887 )

一次奇妙的降价支付逻辑漏洞挖掘之旅

字字经典，本文以上帝视角，带你洞察整个主流支付功能背后的逻辑，之后再轻挥衣袖，实现降价支付！

• 16
• 19
• 新人小安
• 发布于 2025-03-17 09:00:01
• 阅读 ( 36677 )

记一次实战小程序漏洞测试到严重漏洞

记录一次从小程序静态分析+动态调试获取到严重漏洞的过程

• 18
• 19
• 律师
• 发布于 2024-10-31 09:00:01
• 阅读 ( 13092 )

任意用户登录漏洞挖掘思路

任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽，本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。

• 38
• 19
• 中铁13层打工人
• 发布于 2023-11-20 10:00:00
• 阅读 ( 16239 )

这个SQL注入有点东西

最近遇到了几个比较有意思的SQL注入，跟各位师傅们分享一下思路和注入方式。

• 24
• 18
• 薛定谔不喜欢猫
• 发布于 2025-07-10 09:00:01
• 阅读 ( 10509 )

任意文件读取&下载漏洞的全面解析及利用

在实战中，我们不仅需要关注如何进行发现漏洞，也需要反思如何对发现的漏洞进行最大化利用！

• 32
• 18
• 小铭
• 发布于 2024-01-03 09:34:39
• 阅读 ( 32180 )

Parent Process ID (PPID) Spoofing

不多bb，今天我们一起来学习 PPID 欺骗

• 4
• 18
• 江南小虫虫
• 发布于 2022-01-11 09:49:38
• 阅读 ( 22575 )

SRC 视角下：渗透测试中的逻辑漏洞思路博弈

最近挖到的中高危漏洞，既没靠 `0day` 这种 "王炸"，也没搞复杂利用链 "炫技"，纯靠瞪大眼睛当 "人肉扫描器"，连标点符号都不放过地逐行比对参数和响应。直到某个昏昏欲睡的下午，随手改了个藏在 `JSON` 数据深处的小参数，系统突然像短路反馈了全新的信息，反常的响应直接暴露未授权访问的 "马脚"。当时激动得差点把咖啡泼到键盘上，看着满地咖啡渍才顿悟 —— 原来倒掉的咖啡，比直接喝咖啡提神一百倍

• 13
• 17
• 一天要喝八杯水
• 发布于 2026-03-18 17:21:32
• 阅读 ( 11538 )

挖矿木马+隐藏后门应急分析

记录一次挖矿病毒木马的学习，仅供学习交流 ！

• 16
• 17
• Yu9
• 发布于 2024-07-25 09:00:01
• 阅读 ( 11859 )

浅谈Webpack导致的一些问题

webpack的打包方便了我们，却也因为他的特性，使网站也存在了一些安全问题......

• 19
• 17
• TUANOAN
• 发布于 2022-07-13 09:52:50
• 阅读 ( 21203 )

免杀笔记之 aes 加 lazy_importer 加 shellcode 分离

今天写一篇静态免杀的文章

• 3
• 17
• 江南小虫虫
• 发布于 2022-01-12 09:53:41
• 阅读 ( 16691 )

注入起手联想启发Web收菜之旅

SRC不慎打偏忽略案例，备案企业虽然是子公司但控股资产不足该SRC收录资产标准，后续回望报告也发现不算复杂真在收取范围的话也可能被其他师傅交过，故发出整个过程进行分享

• 12
• 16
• 一天要喝八杯水
• 发布于 2026-03-27 10:01:47
• 阅读 ( 4136 )

小程序Web接口速通案例

很早前GS测试小程序案例，基本没有难点都是先有信息联想从而扩大危害形成一个合集分享发出，案例从易到难，功能点找到接口文档或者Web缺少token反推小程序业务普通用户权限

• 13
• 16
• 一天要喝八杯水
• 发布于 2026-03-26 09:52:12
• 阅读 ( 4196 )

【溯源反制】自搭建蜜罐到反制攻击队

本篇文章结合之前的案例总结了一些作为蓝队的经验，希望能对蓝队溯源得分有所帮助，如果还有其他奇招妙法欢迎师傅们多多交流

• 18
• 16
• hyyrent
• 发布于 2023-09-01 09:00:02
• 阅读 ( 17724 )

记一次任意文件下载(尝试Getshell未果)

有请今天的主角登场，不难看出这是一个招聘系统 1.先尝试注册

• 10
• 16
• C01D
• 发布于 2023-02-17 16:19:55
• 阅读 ( 13988 )

记一次 bypass 前端验证 + 后端缺陷

有人找到我,搞攻防请求支援,当然这种请求那当然要逝世呀

• 12
• 16
• yier
• 发布于 2021-06-23 15:18:48
• 阅读 ( 16518 )

手把手拆解：小程序/Web端加密鉴权绕过案例全复现

本文通过六个真实渗透测试案例，深入剖析小程序与Web端常见的加密鉴权机制，手把手演示如何通过反编译、动态调试、JS逆向与脚本复现，精准定位加密逻辑、还原签名算法，并最终实现越权访问、信息遍历与账号接管

• 33
• 15
• Werqy3
• 发布于 2025-12-02 10:00:01
• 阅读 ( 8582 )

企业管理类系统常见漏洞挖掘指北

在银行、证券、金融等行业，普通存在类似erp的面向企业侧的各种管理、采购、供应商等等系统，本文总结梳理该类系统特有的一些常见漏洞

• 18
• 15
• 中铁13层打工人
• 发布于 2025-11-14 10:00:02
• 阅读 ( 5627 )

记一次绕过阿里云waf与某不知名waf的双waf上传getshell

本文记录了一次绕过阿里云waf与某不知名waf的双waf上传getshell

• 21
• 15
• 张三一号
• 发布于 2025-01-23 10:00:01
• 阅读 ( 11807 )