一次对大学的逻辑漏洞渗透测试 奇妙之旅
注意:新手发表文章能力有限,仍在整夜通宵看诸位师父们的好文章,记载一回奇特缘故的逻辑漏洞收集.情况,总算我们开学了,与很久末见的同学来一次篮球赛(*人健身运动)。炎炎夏日,只有傍晚时分与同...
admin
渗透测试入门之信息收集命令篇
渗透测试的实质是信息收集,我们大体上还可以将内部网络信息收集分成远程服务器信息收集、域内信息收集、登录证书盗取、生存远程服务器检测、内部网络端口扫描5个步骤。 最常见的两个问题是: 我是谁?-whoa...
一次对BC网站APP的渗透测试过程分享
朋友给了我一个站,是比较大的bc。主站看了看,没有入口,他就换了推广平台。然后我先大致浏览了一下下目录,希望能看到有用的东西。这个时候我可以推荐一个界面,让你快速粗略的看一下下他的重要文档...
渗透测试中的SQL注入漏洞的延伸用法
几年前,SQL注入在世界范围内很流行,但现在,SQL注入仍然是最流行的攻击方法之一,开发人员为此头疼。当然主要是因为注入攻击的灵活性,一个目的,多条语句,多种编写方法。SQL注入可以分为工具...
社会工程学在渗透测试网站中如何利用?
社会工程学和前端安全。古典的社会工程学攻击案例:社会工程师利用人们的好奇心,或者贪图便宜的心理,让某人捡起不小心丢下的USB,在好奇心的驱使下,该人将该USB插入自己的计算机,打开带后门的...
红队渗透网站的第一步 资产信息的搜集
无论是红队项目还是渗透项目,打分过程总是充满不确定性,在一个攻击面上充满了各种可能性,每一个对外开放的服务都可能成为我们进入内部网络的通道,随着每个人的关注点,进入内部网络的方式也多种多样。...
对企业邮箱的一次渗透测试过程
这个方法看起来是失败的,现在的思路是继续使用内部只有的一个账户进行内部钓鱼,看是否能获得高权限的账户,因为使用owa进行暴力破解需要经常分钱,而且根据前期的密码爆破的结果看再爆高价值用户的密...
对某子公司的授权渗透测试服务 挖掘aws秘钥漏洞
事情起源于邀请我进行授权渗透测试。这是第一个给我报酬的项目,我想做最好的事情。目标客户是15个以上国家有业务的公司,世界上有120个以上的子公司和1200万以上的用户。他们给了我域名和用户...
渗透某企业服务器的一次红队行动经验分享
此时,离这个行动结束还有两天,我们意识到尽可能短的时间内进行横向渗透,尽可能多地获得服务器主机。个人主机的权限非常不稳定,可用时间跟着上班时间,晚上不能工作了,和小伙伴分工,尽可能不引起大规...
对域服务器的渗透测试的一些办法
前几天帮朋友弄了个域名。很久没有域名了,感觉快被遗忘了。幸运的是,我终于突破了这个领域,但不是应朋友的要求以文章的形式写出来的。我简单整理了一些思路和测试过程中遇到的一些问题和解决方法,分享...