实战 | 记一次xxe漏洞的奇怪绕过 又是平平无奇的一天开局就是目录扫描Api.html存活发现接口泄露接口未授权获取管理员账号密码，发现用的xml格式加载，有可能存在xxe漏洞还是个弱口令登录后台看看本次目标明确直接找xxe构造点啊什么... 2023-3-8 09:19:41 | 阅读: 22 | 收藏 | HACK学习呀 漏洞 渗透 ssrf 模块 绕过

实战 | 记一次钓鱼客服到拿下服务器全过程 又是阳光明媚的一天无意中翻啊翻啊翻到一款资金盘对资金盘这种诈骗的，诈骗老百姓的钱，在国外躲着，真是无话可说资金盘plus呢左看右看没啥东西，看看客服系统能不能打xss。吊毛客服居然不在线，这套客服系统... 2023-3-6 10:0:55 | 阅读: 109 | 收藏 | HACK学习呀 渗透 ssrf 注入 dumpsql 警惕性

实战 | 记一次浏览H站引发的Getshell的故事 下班本来想放松下的，打开一看居然是yellow这我能忍，在充满正义的世界，我直接脱下裤子，忙碌了半小时开始了一波资产收集不出意外果然是cdn子域名收集了一波，只存活一个admin88.url也没有其他... 2023-3-3 10:57:7 | 阅读: 74 | 收藏 | HACK学习呀 正当 下班 ssrf 爆破 渗透

干货 | 精选网络安全学习资料包分享 首先，对于网络安全初学者，选择适合的方向和方法至关重要！有的同学完全没有计算机功底，上来就去学渗透、学逆向破解App，结果折腾半天，学了点皮毛就被“劝退”了。因此，学网络安全，是先网络后安全；学Web... 2023-3-2 08:33:48 | 阅读: 32 | 收藏 | HACK学习呀 安全 网络 攻防 漏洞

干货 | Bypass 谷歌登录的二次验证 大家好， 今天的文章将非常有趣，因为我们将讨论一种方法，我们可以使用这种方法通过欺骗受害者来轻松绕过“ Google 双因素身份验证”。要绕过任何谷歌帐户的双因素身份验证，您必须首先拥有该帐户的用户名... 2023-3-1 09:37:6 | 阅读: 15 | 收藏 | HACK学习呀 受害 受害者 信息 绕过

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE） 最近我参加了一个私人 bugbounty 计划，我设法通过四台主机上的开放 .git 目录找到了 RCE，为此我收到了创纪录的 10,000 美元，如果不分享它就是犯罪。其实这个漏洞很简单，只用了半天... 2023-2-28 10:28:11 | 阅读: 42 | 收藏 | HACK学习呀 漏洞 amass nuclei aqua 脚本

实战 | 一次敏感信息到接口fuzz-RCE 一次敏感信息到接口fuzz-RCE，开局一张图，一看就是高端局了老规矩资产收集一遍没其他子域名，多地ping下域名看下难道不是cdn？国外ping也返回的是同ip除了已知的80和443还开放了8443... 2023-2-27 11:48:47 | 阅读: 43 | 收藏 | HACK学习呀 梭哈 挖掘 漏洞 试一下 渗透

实战 | 记一次针对非法网站的SSRF渗透 分享下在做GA项目的时候的经历（已授权发布）平平无奇的界面总是有着不可告人的秘密fuzz目录无收获开启了22,6379,80,443端口无其他子域名前后台分离开局先梭哈直接爆破，这里谷歌验证码是摆设拿... 2023-2-23 13:53:0 | 阅读: 45 | 收藏 | HACK学习呀 漏洞 挖掘 账号 端口 6379

实战 ｜ 记一次从瑟瑟游戏的下载到某网盘网站的渗透测试 前言前排提醒，本文涉及的漏洞已经提交相关平台且站长已知，不要未授权渗透噢！前段时间在网上冲浪的时候看到一款不错的galgame，想下来玩玩（要脸就不说叫啥了）。点进去下载，一看捏妈，下个游戏还要开VI... 2023-2-19 10:44:10 | 阅读: 47 | 收藏 | HACK学习呀 数据 信息 漏洞 注入 数据库

干货 | 支付与并发漏洞挖掘技巧 Int型最大值2147483647，超过该值后，从0开始技术，即1=2147483649利用方式：1.直接修改金额2.通过修改数量，比如用1300元买3300元的6w多件商品买1.49个商品和1.5个... 2023-2-18 09:33:8 | 阅读: 26 | 收藏 | HACK学习呀 签约 优惠卷 账号 绕过 余额

实战 | 我是如何在5分钟内获得上千美金的漏洞赏金 我在模糊测试时正在寻找一个漏洞赏金目标，我看到该网站正在使用 Telerik UI，并且它容易受到基于 Base64 的加密预言机漏洞的攻击 CVE-2017-9248（用于 ASP.NET AJAX... 2023-2-13 20:35:27 | 阅读: 19 | 收藏 | HACK学习呀 漏洞 攻击 telerik 渗透 加密

实战 | 绕过自定义SSP的凭证保护抓取密码 0. 背景为了避免攻击者转储用户的凭据信息，从 Windows 10 1507 企业版和 Windows Server 2016 开始，微软引入了 Windows Defender Credentia... 2023-2-8 10:21:49 | 阅读: 15 | 收藏 | HACK学习呀 安全 lsa ssp secpkg

实战 | 漏洞挖掘之众测厂商 Ticket劫持漏洞 0x00 前言文章中的项目地址统一修改为: test.com 保护厂商也保护自己0x01 前期准备受害者账号: 18******977攻击者账号: tsetaaaa攻击者服务器：123.207.33.... 2023-2-7 09:3:21 | 阅读: 18 | 收藏 | HACK学习呀 php 攻击 攻击者 yun 受害者

实战 | 如何绕过注册验证并使用公司电子邮件登录 许多网站都设有仅供员工访问的注册页面，但有时您可能会绕过安全措施并以匿名用户身份登录。在本文中，我将讨论可能对您有用的不同技术和现实生活场景。在收集子域并使用Aquatone工具截取屏幕截图后，我开始... 2023-2-6 13:55:28 | 阅读: 18 | 收藏 | HACK学习呀 绕过 信息 攻击 安全 comemail

2023年零基础+进阶系统化白帽黑客学习 | 2月份最新版 声明：学习方式是半自学的方式，我们提供资料和学习计划安排以及答疑指导，能学的怎么样，取决于你自己的努力和花费在这个上面的时间和精力！真正厉害的黑客，基本上都是自学成才，需要不懈的坚持努力和强烈的爱好才... 2023-2-5 09:53:19 | 阅读: 101 | 收藏 | HACK学习呀 漏洞 安全 渗透 逆向 挖掘

实战 | 记一次2000美金赏金的密码重置账户接管 大家好，我是Omar Hamdy （Seaman），今天我将介绍我在Bugcrowd的私人邀请漏洞挖掘中发现的最cool的漏洞之一我有一个私人邀请漏洞挖掘的目标，我们称它为redacted.com，经... 2023-2-3 09:18:28 | 阅读: 13 | 收藏 | HACK学习呀 受害者 受害 漏洞 姓氏 挖掘

干货 | 扫黑除恶！网络安全实战攻略分享领取 首先，对于网络安全初学者，选择适合的方向和方法至关重要！有的同学完全没有计算机功底，上来就去学渗透、学逆向破解App，结果折腾半天，学了点皮毛就被“劝退”了。因此，学网络安全，是先网络后安全；学Web... 2023-2-2 09:2:17 | 阅读: 13 | 收藏 | HACK学习呀 安全 网络 攻防 漏洞

实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金 让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。这个问题还没有解决，所以我不能透露那个程序的名字。假设该程序为 https://redacted.com。Web 应用程序是关于基于团... 2023-1-31 10:24:17 | 阅读: 20 | 收藏 | HACK学习呀 信息 testapp 1111 渗透

实战 | 记一次Facebook上的双因素身份验证绕过 我发现 instagram 中缺乏速率限制问题，这可能允许攻击者通过使用 Mate 帐户中心确认目标用户已经确认的 facebook 手机号码来绕过 facebook 上的双因素身份验证。大家好，我是... 2023-1-28 15:36:1 | 阅读: 28 | 收藏 | HACK学习呀 facebook 赏金 绕过 联系点 bloks

实战 | 从Wdigest绕过Credential Guard 获取明文密码 由 LSASS 进程加载的 wdigest.dll 模块有两个有趣的全局变量：g_fParameter_useLogonCredential 和 g_IsCredGuardEnabled，他们的作用仅... 2023-1-27 10:51:40 | 阅读: 16 | 收藏 | HACK学习呀 fparameter ptrn wdigest