渗透项目｜越权跳转导致的flowable命令执行 项目中遇到的问题，进行记录。过程在目标系统测试一段时间没有收获过后发现一个叫做学习平台功能模块处发生跳转到8092端口上去。后续观察数据包的时候发现，跳转形式是http://xxx.com:8092/... 2022-11-4 09:58:45 | 阅读: 13 | 收藏 | 黑白之道 flowable stringvalue username 模块

渗透小技巧-给工具用上代理池 前言代理池是渗透测试中常用的工具，用来躲避各种各样的封IP的防火墙，也帮助自身隐藏踪迹。大部分工具也支持代理选项，但少有支持代理池的，实际上不需要修改工具去支持代理池，只需要弄个中间层，在中间层搭建代... 2022-11-4 09:58:33 | 阅读: 25 | 收藏 | 黑白之道 代理 ssr 1080 虚拟 虚拟机

最新披露！三星漏洞在设备上安装恶意应用程序 全研究人员发现，三星设备的 Galaxy Store 应用程序中的安全漏洞可让黑客在用户手机上安装并启用恶意App，执行远程指令执行攻击。三星已经发布修补程序。该漏洞是一个跨站点脚本 (XSS) 漏洞... 2022-11-4 09:58:26 | 阅读: 6 | 收藏 | 黑白之道 安全 漏洞 深层 攻击 mcs

晚上睡觉微信被未知设备登录？微信回应：纯属误解；网信办查处135款违法违规App：创维、宝宝巴士等旗下产品在列 晚上睡觉微信被未知设备登录？微信回应：纯属误解；11月3日消息，今日，有部分用户在短视频平台发布视频称，微信最近出现被其它设备登录的情况，有网友表示：“自己的微信是被安卓设备登录的，时间在三号早上五点... 2022-11-4 09:58:15 | 阅读: 12 | 收藏 | 黑白之道 信息 予以 查处 管家

神兵利器 - hoaxshell hoaxshell 是一个非常规的 Windows 反向 shell，目前未被 Microsoft Defender 和可能的其他 AV 解决方案检测到（查看PoC 表以获取更多信息）... 2022-11-2 10:2:56 | 阅读: 28 | 收藏 | 黑白之道 hoaxshell python3 powershell 受害 ngrok

实战|记一次简单的src挖掘 一.起开局一个登录框，简单测试了几个弱口令无果后注意力转到找回密码处先输入两个非法的参数点击获取验证码，抓包，查看响应代码返回0，前端显示未查询到账户信息再来一次，抓包并修改响应包，将0改为1，放包后... 2022-11-2 10:2:53 | 阅读: 15 | 收藏 | 黑白之道 新密码 填入 而后 不通 userids

常见网络安全攻击路径盘点分析与建议 攻击路径是指网络攻击者潜入到企业内部网络应用系统所采取的路径，换句话说，也就是攻击者进行攻击时所采取的相关措施。攻击途径通常代表着有明确目的性的威胁，因为它们会经过详细的准备和规划。从心怀不满的内部人... 2022-11-2 10:2:48 | 阅读: 9 | 收藏 | 黑白之道 攻击 安全 网络 攻击者

小白进阶|120天成为一名渗透测试工程师！零基础！ 点击蓝字 关注我们 SHOPPING  ON 11.11     ✦  ✦  ✦  ✦  ✦今年不知不觉中，只剩下最后两个月！因为疫情有人失业，有人转行，有人风生水起  时间、年龄、学费、就业……当你... 2022-11-2 10:2:43 | 阅读: 17 | 收藏 | 黑白之道 网络 安全 渗透 月薪

黑客长期潜伏企业邮箱，国内某企业被骗走200余万美元；400万美元可以买到全球576个企业网络访问权限 黑客长期潜伏企业邮箱，国内某企业被骗走200余万美元近日，杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵，导致企业险些被骗200余万美元货款。当日，该企业工作人员在查询订单时发现，一海外客户于几日前收到... 2022-11-2 10:2:35 | 阅读: 17 | 收藏 | 黑白之道 黑客 网络 勒索 货款 iab

攻防蓝队技能篇：溯源 一、前言2.1.1 态势感知发现攻击截图2.1.2 对尝试弱口令进行详细研判，确实为弱口令尝试2.1.3 对IP进行威胁情报中心查询，发现风险评估为高，IP反查到域名2.1.4 将域名进行备案查询，发... 2022-11-1 10:1:20 | 阅读: 35 | 收藏 | 黑白之道 攻击 信息 攻击者 溯源 钓鱼

年仅16岁 ，入侵微软等18家跨国巨头…… 2021 年年末，黑客世界横空杀出一支队伍，入侵巴西卫生部成功”出道”，此后短短四个月内，疯狂开展网络攻击活动，英伟达、三星、沃达丰，育碧、微软等十八家行业巨头相继沦陷。一时间，人人自危，LAPSUS... 2022-11-1 10:1:14 | 阅读: 15 | 收藏 | 黑白之道 lapsus 黑客 攻击 网络 数据

网络安全上市企业前三季度：亏损 TOP 10 近日，网安企业陆续发布《2022年三季度报告》。数据以「第三季度」和「前三个季度总和」为主。三六零第三个季度营收 21.11 亿，同比减少 27.7%；净利润 -15.66 亿。前三个季度营收 69.... 2022-11-1 10:1:10 | 阅读: 15 | 收藏 | 黑白之道 安全 净利润 市值 数据

渗透测试扫描器 -- nacs​ 一、工具介绍目前共能主要有：1、探活2、服务扫描(常规&非常规端口)3、poc探测(xray&nuclei格式)4、数据库等弱口令爆破5、内网常见漏洞利用6、常见组件及常见HTTP请求头的log4j漏... 2022-10-31 10:17:32 | 阅读: 30 | 收藏 | 黑白之道 nacs log4j ssh 爆破 端口

绕过WAF运行命令执行漏洞的方法 声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与... 2022-10-31 10:17:21 | 阅读: 17 | 收藏 | 黑白之道 whoami 绕过 cmd3 cmd1 windows

国务院办公厅印发《全国一体化政务大数据体系建设指南》 党中央、国务院高度重视政务大数据体系建设。近年来，各地区各部门认真贯彻落实党中央、国务院决策部署，深入推进政务数据共享开放和平台建设，经过各方面共同努力，政务数据在调节经济运行、改进政务服务、优化营商... 2022-10-31 10:17:12 | 阅读: 27 | 收藏 | 黑白之道 数据 共享 安全 机制

非法获利20余万元！警方成功破获侵犯公民个人信息案；台湾全岛个人信息被放在网上兜售…… 非法获利20余万元！警方成功破获侵犯公民个人信息案；近日，临沂河东警方深入推进“净网2022”专项行动，重拳出击，成功侦破一起侵犯公民个人信息案，抓获犯罪嫌疑人2名，扣押涉案资金19万元，作案手机4部... 2022-10-31 10:17:7 | 阅读: 24 | 收藏 | 黑白之道 内政部 内政 信息 户政 万笔

信息收集工具 -- crayfish 一、工具介绍一款力图实现更优美、更快速、更全面的渗透测试信息收集工具。工具特色：子域名收集子域名枚举第三方接口收集BingWebServer 识别端口探活标题提取DNS 解析CDN 识别中间件识别二、... 2022-10-30 08:36:34 | 阅读: 20 | 收藏 | 黑白之道 crayfish toml 安全 webview2 bing

实战 | 一次Node.js站点渗透 0x01 前言遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限。0x02 信息搜集先进行常规的信息搜集，子域名扫描、端口扫描、目... 2022-10-30 08:36:29 | 阅读: 16 | 收藏 | 黑白之道 agentclass 爆破 数据 信息 加密

成千上万的GitHub代码库分发含有恶意软件的虚假PoC漏洞利用代码 莱顿高级计算机科学研究所的研究人员近日在GitHub上发现了成千上万个代码库提供针对多个漏洞的虚假概念证明（PoC）漏洞利用代码（exploit），其中一些含有恶意软件。GitHub是全球最大的代码托... 2022-10-30 08:36:27 | 阅读: 9 | 收藏 | 黑白之道 漏洞 github 脚本 二进制 安全

黑客瞄上了中国游戏产品《原神》米哈游或遭数据泄露；工信部印发《网络产品安全漏洞收集平台备案管理办法》； 黑客瞄上了中国游戏产品《原神》米哈游或遭大规模数据泄露全球火热的二次元开放世界游戏《原神》(Genshin Impact)的开发商米哈游（海外公司名HoYoverse）遭遇了大规模数据泄露。上周末，大... 2022-10-30 08:36:22 | 阅读: 27 | 收藏 | 黑白之道 漏洞 网络 安全 信息 数据