一次对BC网站APP的渗透测试过程分享
朋友给了我一个站,是比较大的bc。主站看了看,没有入口,他就换了推广平台。然后我先大致浏览了一下下目录,希望能看到有用的东西。这个时候我可以推荐一个界面,让你快速粗略的看一下下他的重要文档...
admin
白帽渗透违法网站进行篡改数据 如何定义?
前几天有人问我如何定性针对非法网站的非法入侵、破坏、非法获取数据的行为?今天我给大家简短说一下。现在很多技术团队都像江湖侠客一样,有梦想,全力打击网络犯罪,被称为白帽子。我认为我们应该采取...
网站和数据库分离的情况 在APP渗透测试中怎么提权?
身为一个业余渗透测试爱好者也是为了赚钱过日子,这两天这砖不搬,回来就想着给大家更新文章了,所以希望能以帮助点击分享、赞、看以及广告的方式给大家提供一点支持,或是让我有信心坚持下去,谢谢!@K...
一次以红队的角度渗透测试某考试网站过程分享
考试周临近下午,学校老师叫我和学弟参加一次红队活动,于是就有了下面这篇文章,令人印象深刻的攻击目标就是英语四六级考试网站...(要是能打下来还要苦逼背单词干嘛)先开始前期信息收集工作,使用...
渗透测试中对某RCE漏洞的反解密与渗透
在不久前的渗透测试行动中,有一个红队可用的漏洞列表,其中有一个关于某个堡垒和基机的有趣的RCE漏洞,最近碰巧是免费的,想审计这个漏洞。要说这个漏洞其实是个古洞,CNVDNo。CNVD-2020...
WEB渗透测试过程中常见的5大漏洞介绍
Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(XXE...
渗透测试工具之AWVS的使用介绍
很多渗透测试中用网站漏洞自动扫描器进行前期扫描的比较常见的就是AWVS,而它是一款自动的Web漏洞扫描工具。它通过跟踪网站上的所有链接来分析整个网站,然后对网站的每个部分进行有针对性的检测。...
该怎么绕过WAF对网站进行渗透入侵?
绕过Web防火墙,WAF简介,WAF对于一些常规漏洞(如sql注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞等)的检测大多是基于正则表达式和AI+规则的方法,因此会有一定的概率绕过其防御。在绕过WA...
利用SQL注入漏洞去渗透测试拿下目标网站的过程
近来,利用sql注入、xss和文件上传漏洞,成功getshell的一个非法网站,这里简单记录一下整个过程,与大家分享。收集信息,查找漏洞。第一步就是进行信息收集,经过一轮的收集,发现这个网站租的是香港...
对Semcms的代码渗透测试 挖掘SQL注入漏洞
这篇文章是前一段时间做的渗透测试。这一次,整篇文章利用当前的服务器环境进行再现。如果有不合理的地方,可能是在做局部复制的过程中没有完全恢复真实环境,主要是记录当时做这个渗透测试的思路和被踩的坑。常规找...