RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

ssrf+log4j=getshell

一些同学一直认为ssrf漏洞比较鸡肋,是否能够进步利用需要看运气,如能够支持什么协议,是否支持跳转等,所以一般测试出来ssrf,就放一边没有深入利用。在本次实战项目中利用ssrf+log4j组合拳,成功getshell。ps:实战内容均是经过授权的渗透测试,并且相关漏洞均已修复。

安卓机root抓包及绕过检测教程(下)

  • 13
  • 8
  • GLRpiz
  • 发布于 2022-01-07 09:34:34
  • 阅读 ( 27119 )

完整的渗透实例--全面了解渗透技术

# 完整的渗透实例--全面了解渗透技术 ## 写在前面 在我们学习安全时,常常会一直停留在某一方面,甚至不知道自己接下来要学什么,而提前了解我们整个渗透需要掌握的技术显得至关重要,这样我...

  • 14
  • 8
  • Honeypot
  • 发布于 2021-08-19 11:05:37
  • 阅读 ( 10566 )

挖掘0day打进不同学校

#写在前面 下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的,不过我也有挖到个别特殊的学校个例,可以直接未授权访问那些目录页面造成危害。挖掘的案例均已提交至漏...

  • 3
  • 8
  • Johnson666
  • 发布于 2021-08-13 10:02:21
  • 阅读 ( 12413 )

实战|全程分析js到getshell

看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波山理的子域资产,全部看了一遍都被大佬挖的干干净净了。没有内网VPN基本上挖不到,然后我就去公众号看了一下,找到...

以小白视角看大模型数据投毒——关于大模型数据投毒的学习心得与技巧分享

最近看到了一个有关大模型数据投毒的视频,分析了一下相关方法与技术,以一个小白的视角来分享一下学习到的心得与技巧。

  • 7
  • 7
  • 子墨
  • 发布于 2026-01-09 09:00:02
  • 阅读 ( 12986 )

学习一个价值4.7w刀的提示词注入思路

去年的时候,外网上出现了一个名为Freysa AI。它旨在通过举办大模型安全赏金竞赛游戏,来吸引全球爱好者一起探索:人类的智慧能否找到一种方法说服AGI违背其核心指令?这里对解题思路进行一波学习

通过微调与拒绝向量消融实现大模型越狱的实践

AI突破限制的多种手段 前言:目前看到过很多越狱AI的手法,绝大多数都是使用提示词注入来对互联网上现有AI进行越狱,本文章中介绍另外两个方法进行越狱。

  • 6
  • 7
  • 画老师
  • 发布于 2025-12-09 09:00:01
  • 阅读 ( 3553 )

密码重置漏洞挖掘指南:从原理到实战的完整路径

密码重置功能是Web应用中最常见也最核心的环节之一,它直接关系到用户账户的安全。正因为其普遍性和高敏感性,一个细微的逻辑缺陷都可能导致整个账户体系的沦陷。密码重置漏洞核心思路为:站在攻击者的角度,尝试劫持任意用户的密码重置流程。

【转载】手把手js逆向断点调试&js逆向前端加密对抗&企业SRC实战分享

这篇文章主要是给没有学习过js逆向的师傅学习的,分享一些js逆向基础知识,js实战断点调试技巧以及后面分享js逆向靶场搭建以及js逆向前端加密对抗,拿微信小程序常用的AES、RSA和明文Sign 签名校验绕过几个方面给师傅们分享下操作技巧。最后再分享一个企业SRC实战案例。

  • 18
  • 7
  • routing
  • 发布于 2025-09-17 09:00:00
  • 阅读 ( 7193 )

内网隧道的搭建以及攻击流量特征概述

之前发了一篇去年学习内网时所记录的一些笔记,没想到过了,然后就想起之前还有一篇隧道的笔记,在重温的时候结合去年做过的msf和cs的一些攻击流量,心跳特征,就一起揉合在了一起有了此篇文章

文件读取漏洞实战利用

实战场景下的两个任意文件读取漏洞利用。

  • 3
  • 7
  • subjcw
  • 发布于 2024-12-31 10:00:02
  • 阅读 ( 8226 )

Linux系统下反弹shell的理解

之前研究过一段时间的反弹shell,所以本文是我个人对反弹shell的理解,当然,本人才疏学浅,如有啥错的地方,各位师傅指出,共同学习一起进步!!!

保姆级命令执行总结

详解命令执行绕过

  • 16
  • 7
  • Chu0
  • 发布于 2024-08-16 10:00:02
  • 阅读 ( 8274 )

HW 中如何利用 WAF 缺陷进行绕过

在挖洞过程中,往往会遇到各种攻击利用被waf拦截的情况,本文浅析总结了常见的一些绕过思路以及具体实现

记一次某src挖掘

本文作者:Track - blueaurora,渗透思路往往不要太局限了。当我们对某一个登录框站点没有思路时,可以尝试找找是否存在一些说明手册,因为功能点繁多,面向大量的不同单位人群,可能会存在qq群等,好对一些用户问题进行处理,那么就可以通过谷歌语法,对网站名 + 群等关键字搜索,也可以直接在qq群搜索网站名称,或开发商名称进行查找,当你进入他们内部的群时,就可以获取很多敏感信息了,甚至可以直接向运维人员申请修改密码等操作。

  • 7
  • 7
  • n3ewlit
  • 发布于 2024-07-26 09:00:00
  • 阅读 ( 8252 )

cve-2024-26229 漏洞分析

本文针对Windows中的内核漏洞cve-2024-26229 进行分析 并且简单介绍其中的利用技巧

  • 2
  • 7
  • l1nk
  • 发布于 2024-06-17 15:24:35
  • 阅读 ( 52551 )

webshell静态免杀的一些思路

webshell静态免杀的一些思路

  • 6
  • 7
  • Test001
  • 发布于 2023-10-30 09:00:00
  • 阅读 ( 9737 )

攻防千层饼

近年来,网络安全领域正在经历一场不断升级的攻防对抗,这场攻防已经不再局限于传统的攻击与防御模式,攻击者和防守者都已经越发熟练,对于传统攻防手法了如指掌。

云上的ssrf利用

由于云厂商提供云服务均使用同一套网络边界和鉴权系统,且各云组件默认相互信任。此时一旦存在SSRF漏洞,此类边界将不复存在,攻击者可直接调用云厂商支持环境中的相应接口,因此SSRF漏洞在云环境中更具有危害性。以下文章围绕ssrf的云上利用展开。