精简版SDL落地实践 - 渗透测试中心 一、前言一般安全都属于运维部下面，和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中，没多久因为各种原因离职。18年入职5月一家第三方支付公司，前半年在各种检查中度过，监管形势严... 2023-2-23 00:59:0 | 阅读: 51 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 安全 漏洞 sdl 镜像

记一次web漏洞挖掘随笔 - 渗透测试中心 漏洞重复还是很难受的，转念一想，人生从不是事事如人意的，漏洞重复忽略，不代表失败。先来后到很重要，出场顺序很重要。　　1.某站rce 忽略理由:不在范围内 作者神父&me 感谢神父带我　　测试域名... 2023-2-22 17:6:0 | 阅读: 43 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com processo 漏洞 hax fdwreason myarray

云安全能力评估 - 郑瀚Andrew 0x1：云安全能力的评估维度1、可见性如果想要对云中的资产进行安全保护，则首先需要看到并了解它的安全风险，因此云上的可见性是所有企业进行安全性判断并实施管理的基础。云安全能力的首要原则就是能够... 2023-2-21 14:5:0 | 阅读: 21 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 安全 数据 审计 控制 自动化

web漏洞挖掘随笔 - 飘渺红尘✨ 最近挖了一些漏洞。虽然重复了，但是有参考价值。这边给大家分享下。　　漏洞重复还是很难受的，转念一想，人生从不是事事如人意的，漏洞重复忽略，不代表失败。先来后到很重要，出场顺序很重要。　　1.... 2023-2-17 16:43:0 | 阅读: 65 | 收藏 | 博客园 - 飘渺红尘✨ - www.cnblogs.com processo 漏洞 hax fdwreason myarray

一款OutLook信息收集工具 - 渗透测试中心 0x01 前言这是一款burp插件，用于Outlook用户信息收集，在已登录Outlook账号后，可以使用该插件自动爬取所有联系人的信息0x02 安装在burp扩展面板加载jar即可0x03  功能... 2023-2-17 09:58:0 | 阅读: 64 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 信息 burp 数据 ooutlook proxy

记一次内网横向免杀测试 - 渗透测试中心 jexbossKali LinuxCS 4.3Windows杀软在线查询一Windows杀软在线查询二Windows杀软在线查询三fscan潮汐shellcode免杀LSTARCobaltStrik... 2023-2-15 13:13:0 | 阅读: 73 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com webtitle icmp 7600 windows ssh

玉 - Sliver - zha0gongz1 基操1.启动服务端./sliver-server_linux2.启用多客户端协同new-operator --name zha0gongz1 --lhost [serverip] #生成客... 2023-2-2 17:31:0 | 阅读: 38 | 收藏 | 博客园 - zha0gongz1 - www.cnblogs.com sliver mtls windows 载荷 端口

玉 - Sliver - zha0gongz1 基操1.启动服务端./sliver-server_linux2.启用多客户端协同new-operator --name zha0gongz1 --lhost [serverip] #生成客... 2023-2-2 17:31:0 | 阅读: 38 | 收藏 | 博客园 - zha0gongz1 - www.cnblogs.com sliver mtls windows 载荷 zha0gongz1

汽车APP产品分析-亿盾加固1 - 我是小三 .note.gnu.text:0000007155462F60.note.gnu.text:0000007155462F60 ; 填充指令.not... 2023-2-2 17:14:0 | 阅读: 33 | 收藏 | 博客园 - 我是小三 - www.cnblogs.com f9 w2 x19 x28

站库分离渗透思路技巧总结 - 渗透测试中心 前言看到了某篇关于站库分离类型站点相关的讨论，想总结下信息收集的技巧。正文关于站库分离类型站点网上暂时没有找到总结性的文章，所以想尝试记录下关于站库分离类型站点的渗透思路。对站库分离类型站点通常可... 2023-2-2 13:27:0 | 阅读: 68 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 数据 数据库 渗透 信息 注入

利用腾讯云函数上线CS - 渗透测试中心 首先，我们需要登录腾讯云，开启云函数。登录腾讯云后，搜索云函数。开通即可。初次登录，需要授权。登录控制台后，点击新建。函数名称随意，选择从头开始，环境填Python3.6，选完后下拉，把代码搞里头。复... 2023-2-2 13:11:0 | 阅读: 65 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com c2 腾讯 client ocsp prepend

SaaS-API越权漏洞检测系统 - 渗透测试中心 概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞特点支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，避免阻塞支持输出报表与完整的URL、请求、响应... 2023-2-2 00:53:0 | 阅读: 108 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 账号 漏洞 证书 信息 idor

实战还原--从大黄蜂样本到域控管理员技术解析 - 渗透测试中心 0 前言实战案例还原《BumbleBee Roasts Its Way To Domain Admin》一文详细的描述了一次渗透案例，但其文章组织架构建立在ATT&CK框架上，而不是按照时间线逻辑来... 2023-2-2 00:41:0 | 阅读: 70 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com vulnrecon 攻击 信息 被控 攻击者

内网渗透流水账 - 渗透测试中心 0x00 环境Linux主机www权限主机无法出外网正向代理无法使用B段内网0x01 收集信息F-Scrack.py获取Redis, ES等PS: Scrack.py的mssql模块爆破不准确，可... 2023-2-1 23:46:0 | 阅读: 56 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com windows github pt007 远程 hexstring

从甲方视角看乙方商业化安全产品的需求 - 郑瀚Andrew Welcome to contact me. Wechat：LittleHann，My email, [email protected]，Job mail：[email pr... 2023-2-1 09:23:0 | 阅读: 24 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 安全 乙方 andrew 信息

从云服务器 SSRF 漏洞到接管你的阿里云控制台 - 渗透测试中心 0x00 前言本文将以阿里云为例，对云服务中的一些攻防手法进行演示，首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建，然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的... 2023-1-31 22:52:0 | 阅读: 99 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com ssrf aliyun 数据 靶场

2023年家庭行动路径 - 郑瀚Andrew 请输入博文的阅读密码: ... 2023-1-31 10:45:0 | 阅读: 30 | 收藏 | 博客园 - 郑瀚Andrew - www.cnblogs.com 博文

针对Azure AD Kerberos 的反弹票据和碘化银攻击 - 挖洞的土拨鼠 前言本文翻译自Silverfort的高级研究员Dor Segal的文章 Bounce the Ticket and Silver Iodide Attacks on Azure AD kerber... 2023-1-30 16:41:0 | 阅读: 42 | 收藏 | 博客园_挖洞的土拨鼠 - www.cnblogs.com 攻击 碘化 碘化银 加密 rubeus

sql盲注快速出数据之超级注入工具 - 渗透测试中心 一些朋友在群里经常遇到sql注入的问题，有时候有waf、有时候是盲注、有时候不知道如何下手? 今天分享一款工具，名字是超级注入工具下载地址： https://github.com/shack2/S... 2023-1-30 10:10:0 | 阅读: 69 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 注入 数据 布尔 替换成 布尔值

内网渗透之中间人欺骗攻击 - 渗透测试中心 ARP攻击协议简介ARP全称为Address Resolution Protocol，即地址解析协议，它是一个根据IP地址获取物理地址的TCP/IP协议，主机发送信息时将包含目标IP地址的ARP请求... 2023-1-29 14:7:0 | 阅读: 53 | 收藏 | 博客园_渗透测试中心 - www.cnblogs.com 攻击 欺骗 174 数据 网络