一次 .NET + MSSQL 报错注入与WAF绕过实战
在一次红队任务中,我们接手了某大学的后台系统测试任务。该系统采用典型的.NET + MSSQL架构,登录后台后,某接口处存在SQL注入点。但由于部署了WAF防护,常规payload...
admin
攻防项目中的代码审计
原文链接:https://xz.aliyun.com/news/18075在一些攻防项目中,除了一些常见的大型系统外,常常还会遇到其他一些相对小众的系统,而在打不动大型系统时,这些...
.NET 某文本编辑器老版本文件名设计缺陷实现文件上传
红队在一次渗透测试过程中,意外通过某编辑器 v1.3 的 ASPX 版本成功获得 WebShell 的全过程。值得一提的是,此次利用方式并非坊间广为流传的 v1.4 任意文件上传...
![报名学习 | 国内最专业、最全面的 [ .NET 代码审计 ] 体系化视频学习课程](https://zhousa.com/zb_users/theme/quietlee/style/noimg/7.jpg "详细阅读:报名学习 | 国内最专业、最全面的 [ .NET 代码审计 ] 体系化视频学习课程")
报名学习 | 国内最专业、最全面的 [ .NET 代码审计 ] 体系化视频学习课程
别再纸上谈兵!这门代码审计课程带你走进 .NET Web 漏洞挖掘之旅。从一行代码入手,揭示隐藏在业务逻辑中的安全风险,手把手教你审计、复现与修复全过程。无论你是红队人员、安全研究...
代码审计| U8 FileManageServlet 文件读取漏洞分析
最近在写工具,分析官方漏洞补丁给自己的工具添加上一些day,这些day可能用不到,万一有一天用到了呢补丁链接 https://security.yonyou.com/#/notic...
JavaWeb代码审计企业级项目实战指南2.0升级版
《JavaWeb代码审计零基础入门到企业级项目实战》课程 2.0 升级版,来啦!加了十节实战干货课程。加量不加价,依旧低至 499。一次付费,终身学习。老学员,后续关注内部群聊即可...
有了这些渗透工具,红队都是鸡毛蒜皮
推荐以下几个公众号,不仅内容丰富,而且干货满满!长期更新高质量文章,涉及红蓝对抗、内外网渗透、代码审计、SRC赏金、APP 安全测试、应急响应、漏洞挖掘、常用安全工具等,你想要的内...
.NET 一条被忽视的路径:某文本编辑器老版本文件名设计缺陷实现文件上传
红队在一次渗透测试过程中,意外通过某编辑器 v1.3 的 ASPX 版本成功获得 WebShell 的全过程。值得一提的是,此次利用方式并非坊间广为流传的 v1.4 任意文件上传...
招聘 | 渗透测试工程师 | Base工作地点-湖南长沙
职位:渗透测试工程师(偏红队)工作地点Base:湖南省长沙市薪资范围:10k - 15k(能力突出者薪资可面议)一:【岗位职责】1.负责安全服务项目实施工作,包含渗透测试、流量分析...