XSS获取目标cookie,伪造身份获取目标权限
未知攻,何来防。网络安全靶场学习:XSS(跨站脚本攻击),使用XSS伪造目标权限。
CTF-反序列化
反序列化
记一次网站攻击到提权的全部过程
至此,成功拿到system权限,可以干很多很多事情.....当然是首先留后门了!哈哈哈.......
文件上传及upload-labs闯关
文件上传
Cobalt-Strike基本使用
Cobalt Strike(简称为CS)是一款基于java的渗透测试工具(尤其是后渗透阶段),自3.0开始已经不再使用Metasploit框架而作为一个独立的平台使用,这款工具有其他很多渗透测试工具没有的团队合作功能,团队成员可以连接到同一个服务器上进行合作,共享攻击资源。
网络安全等级保护“能力验证”:配置核查(Linux系统)
当时的查询结果为:0 10 * * * root /usr/bin/clamscan -r /var/www/html -l /var/log/clamav/clamscan.log 但是我们别忘了另外一点,你crond这个服务没启动,这个计划任务是不生效的,所以经查看crond服务处于停止状态,这
网络安全学习笔记
小白的学习笔记
内网渗透技巧
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。
漏洞挖掘之信息收集
对单一指定目标网站进行黑盒测试,最重要的就是信息收集,因为网站管理员肯定会在用户经常访问的主网站进行经常维护,而那些子域名,没有什么人访问的,可能就会忘记维护,挖洞的突破点大都在于子域名上,你搜集的信息越全面,就越容易挖到洞对于信息收集,是一个很枯燥,也不需要太多技术的过程,大佬和小白都差不多,也就
kali基于sqlmap的使用
kali之SQLmap
Web安全之CTF测试赛
一次CTF测试赛
DVWA靶场系列(四)—— File Upload(文件上传)
DVWA靶场系列(四)—— File Upload(文件上传)
web常见的漏洞的分类以及危害
WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞
2023最新网络安全自学路线,内容涵盖3-5年技能提升
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。
pyLoad远程代码执行漏洞复现(CVE-2023-0297)
pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。
漏洞复现-通达OA
渗透
confluence的几个高危漏洞复现
CVE-2021-26084 CVE-2022-26134 漏洞复现
记录一次cnvd挖掘过程
曾经的我,以为挖掘cnvd是一个非常遥不可及的事情,注册资产5000万黑盒10案例(目前还不会代码审计吖,后续会努力学习吖!)这个门槛就已经难住我了(脚本小子的自述)。
【安全】网络安全态势感知
本文还介绍了网络安全态势感知~
【BP靶场portswigger-客户端11】跨站点脚本XSS-20个实验(上)
【BP靶场portswigger-客户端11-跨站点脚本XSS】20个实验-万文详细步骤
