云主机AK/SK泄露利用

AK/SK认证云主机通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key Id（AK）用于标示用户，Secret Acc…

 TideSec 1天前

3,822 0 0

实战 | 记一次Bypass OTP二次验证的漏洞挖掘

大家好！这个Bypass OTP有点有趣，你会学到很多东西，希望能学到很多东西。所以我正在浏览这个网站，它实际上处理教师的登录和教育内容（政府网站）。让我们称这个网站为“example.com”。为了…

 HACK_Learn 2天前

3,801 0 0

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

前言前不久参加了一场攻防演练，过程既简单也曲折，最后通过横向渗透获取到了vcenter管理控制台权限，成功拿下本次演练目标。寻找目标目标分配后，面对大范围的目标，首先要做的就是寻找一些容易获取权限的站…

 TideSec 3天前

5,397 0 0

记一次高校学生账户从无到有

本次记录，意在表明信息收集得强大之处和引起高校对网络安全的重视..…，看看是如何从无到有的拿到学生账户…在了解思路过后，可能会被各位大师傅吹…0x01:先看看这个窗口Http://xxx.xxx.xx…

 合天网安实验室 3天前

3,455 0 0

Windows AD基础知识之AD对象

点击蓝色关注我们# 1、概述在这篇文章中，我们将讨论不同的 Active Directory 对象及其基本概念，例如：为什么域中需要 Active Direct…

 合天网安实验室 4天前

3,141 0 20

从一个App到getshell的一次经历 | 技术精选0138

本文约1800字，阅读约需5分钟。在一次授权渗透测试中，得知测试目标是拿到权限或者关键用户数据。客户一开始只提供了一个安卓apk，在这种情况下，我们要怎么顺利完成测试呢？1App测试一开始只提供了安卓…

 酒仙桥六号部队 8天前

4,429 0 0

Web登录认证类漏洞总结 | 技术精选0137

本文约5000字，阅读约需11分钟。做渗透测试的过程中，碰到过各种各样千奇百怪的Web系统。因此，打算写一篇聚焦于如何获得Web系统权限这个主题的文章。因为其中的复杂性和特殊性，所以部分内容将通过通用…

 酒仙桥六号部队 9天前

6,732 0 0

应急响应-操作系统日志收集与分析

一、Windows日志收集与分析    在运维工作过程中，如若windows服务器被入侵，往往需要检索和分析相应的安全日志。除了安全设备，系统自带的日志就是取证…

 Lemon 10天前

7,043 0 0

Windows AD基础知识

1、概述本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory…

 合天网安实验室 10天前

6,834 0 0

二进制固件函数劫持术-DYNAMIC

背景介绍固件系统中的二进制文件依赖于特定的系统环境执行，针对固件的研究在没有足够的资金的支持下需要通过固件的模拟来执行二进制文件程序。依赖于特定硬件环境的固件无法完整模拟，需要hook掉其中依赖于硬件…

 合天网安实验室 23天前

9,188 0 0

初识Java反序列化

前言研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。大致内容如下：序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化…

 TideSec 25天前

8,276 0 1

记一次某内容管理平台最最最详细的代码审计

点击蓝字关注我们前言刚好遇到一个授权的渗透是通过该cms实现getshell，所以顺便审计一下java类的cms，这个管理系统是一个内容管理系统，下载地址https://gitee.com/oufu/…

 合天网安实验室 26天前

6,736 0 0

AFL–模糊测试使用浅析

一、AFL简介AFL（American Fuzzy Lop）是由安全研究员Micha? Zalewski（@lcamtuf）开发的一款基于覆盖引导（Coverage-guided）的模糊测试工具，它通…

 合天网安实验室 2022-05-25 12:28:01

7,446 0 1

CDN绕过技术总汇

在HVV培训以及面试中，有人问了CDN该如何绕过找到目标真实IP，这向来是个老生常谈的问题，而且网上大多都有，但是有些不够全面，今天把绕过CDN全理一理。术语叫做“深入浅出”。CDN简介定义内容分发网…

 合天网安实验室 2022-05-16 14:09:02

9,295 0 0

Fuzzing101系列 Exercise 1 – Xpdf

序言Fuzzing101系列包含针对10 个真实目标的10个练习，在练习中一步一步学习Fuzzing技术的知识。模糊测试（Fuzzing/Fuzz）是一种自动化软件测试技术，它基于为程序提供随机或变异…

 合天网安实验室 2022-05-13 16:31:54

9,851 0 1