实战 | 记一次攻防演练中的溯源经历 缘起在今年的攻防期间，通过安全设备告警分析，需要对某个源攻击IP进行溯源反制，并且需要记录整个溯源过程和提交溯源报告。开展溯源研判在溯源之前，首先应该判断是否真的存在攻击行为，攻击的特征，攻击类型，攻... 2022-8-27 10:19:17 | 阅读: 29 | 收藏 | HACK学习呀 攻击 溯源 信息 攻击者

实战 | 对某外国网站的一次内网渗透练手 0X01 目标主站：https://www.xxx.com/en/  0X02 外围打点通过子域名，找到分站：https://www.xxx.com/C段里面有一个安装Weblogic的服务器，CV... 2022-8-24 09:3:35 | 阅读: 48 | 收藏 | HACK学习呀 渗透 psvadmin 搬运工 信息 client

实战 | 记一次对某企业的一次内网渗透总结 0x01 外网打点到Getshell目标站点：通过各种工具和在线网站，对子域名进行收集，并解析ip。发现主站存在CDN，使用fofa，搜索网站title、js等关键信息和子域名解析的ip对应的C段，发... 2022-8-23 09:3:30 | 阅读: 36 | 收藏 | HACK学习呀 渗透 上线 信息 windows 注册表

干货 | Twitter渗透技巧搬运工（四） Bug type: 403 Bypasssite[.]com/env => 403 Forbidden site[.]com/env/HTTPS2 => BypassedAPI hacking Sta... 2022-8-21 10:41:40 | 阅读: 33 | 收藏 | HACK学习呀 搬运工 github 403 渗透 bypass

实战 | 记一次从Flarum开始的RCE之旅 点击蓝字 / 关注我们事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程，请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任一次日常测试中，偶然遇到了一个Flar... 2022-8-19 20:55:14 | 阅读: 18 | 收藏 | HACK学习呀 php 漏洞 控制 flarum monolog

2022年，再不学网络安全就迟了！ 近几年网络安全行业迅速发展，如今，它已经成为网工运维、软件开发等IT技术人的热门职业选择，不仅行业起点高、而且薪水相当丰厚。问题来了，为什么网络安全行业这么火？为什么越来越多IT技术人学习网络安全呢？... 2022-8-18 07:56:6 | 阅读: 17 | 收藏 | HACK学习呀 安全 网络 攻防 渗透

干货 | 渗透中403/401页面绕过的思路总结 0x01 前言做渗透时经常会碰到扫到的资产403的情况，特别是资产微乎其微的情况下，面试有时也会问到，这里做个总结！0x02 利用姿势1.端口利用扫描主机端口，找其它开放web服务的端口，访问其端口，... 2022-8-17 09:2:38 | 阅读: 73 | 收藏 | HACK学习呀 200site 绕过 403 1x github

实战 | 我是如何从Cloudflare获得6000美元的漏洞赏金 我一直是 Bug 赏金猎人，大多数社区成员都因为我的代码注入漏洞而认识我。我之前分享了我如何通过路径遍历/代码注入赚取 6000 美元的文章。这让我有兴趣分享另一个故事，在 Bug Bounty 的帮... 2022-8-15 18:58:35 | 阅读: 71 | 收藏 | HACK学习呀 漏洞 渗透 赏金 github imhunterand

实战 | 记一次不太成功的反诈骗渗透测试 今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。。要来了诈骗网站地址，打开是这种：果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给... 2022-8-13 10:33:36 | 阅读: 24 | 收藏 | HACK学习呀 绕过 斯拉 哥斯拉 信息 骗子

实战 | 记一次3000美金的Instagram绕过电子邮件确认漏洞挖掘经历 这个故事是关于一个逻辑漏洞，它帮助我绕过电子邮件确认过程并将任意未经确认的电子邮件添加到 Instagram 帐户。这从我测试 Instagram 的密码重置选项开始。Ins... 2022-8-12 09:3:35 | 阅读: 20 | 收藏 | HACK学习呀 攻击 漏洞 攻击者 受害 受害者

实战 | 记一次使用Viper工具来进行的内网渗透 内网渗透在现在已经是非常熟悉的攻击方法本篇文章将使用viper进行内网渗透靶场环境来自:西域大都护府CFS内网渗透靶场。渗透之前，先说说viper是什么？Viper是一款图形... 2022-8-10 17:35:8 | 阅读: 51 | 收藏 | HACK学习呀 渗透 viper 上线 模块 搬运工

实战 | Immunefi的一枚赏金600万美金的智能合约漏洞挖掘过程 如果您是 Web2 或 Web3 开发人员，并且最终正在考虑在 Web3 中寻找 bug 的职业，那么我们为您服务。查看我们的终极区块链黑客指南，并开始从 Immunefi（... 2022-8-8 13:37:50 | 阅读: 59 | 收藏 | HACK学习呀 aurora 漏洞 代币 接器

干货 | Github安全搬运工 2022年第十六期 整理了基于Go的16种API免杀测试、8种加密测试、反沙盒测试、编译混淆、加壳、资源修改等免杀技术，并搜集汇总了一些资料和工具。地址：https://github.com/T... 2022-8-7 21:17:53 | 阅读: 37 | 收藏 | HACK学习呀 github 安全 搬运工 渗透 免杀

实战 | 记一次由验证码绕过到越权访问 0X00    前言本文章主要记录一个我在工作中遇到有意思的逻辑漏洞，可惜最终上传成功了木马但是没有getshell，思路卡住了。本文所涉及的漏洞在文章发布前已做好漏洞修复工... 2022-8-6 10:8:23 | 阅读: 24 | 收藏 | HACK学习呀 漏洞 信息 php 挖掘 模块

等保2.0+安全实验室+漏洞挖掘+攻防实战，你Get了吗？ 这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地，网络安全行业地位、薪资随之水涨船高。当你开始在网上搜索关于网... 2022-8-4 07:58:13 | 阅读: 11 | 收藏 | HACK学习呀 安全 网络 渗透 攻防

干货 | 常用的红队渗透工具分享 地址：https://github.com/xzajyjs/ThunderSearch地址：https://github.com/xzajyjs/SiteScan地址：htt... 2022-8-3 09:6:23 | 阅读: 48 | 收藏 | HACK学习呀 github 漏洞 挖掘 xzajyjs jdk1

实战 | 记一次赏金2500美金的Shopify漏洞挖掘 当用户能够访问他们不应该访问的内容时，就会出现最常见的漏洞之一。如果恶意行为者利用此漏洞并访问他人的机密信息，则可能导致敏感数据泄露。这是一种称为信息泄露的漏洞形式，它可以有... 2022-8-2 09:22:25 | 阅读: 25 | 收藏 | HACK学习呀 漏洞 信息 shopify 机密性 okbay44

2022HW段子表情包集锦 今年的HW，蓝队都在等0day红队都在社工钓鱼蓝队：红队进来了吗？红队：我已经拿满分，完事了蓝队：没感觉呀，还是继续干饭喝红牛写段子吧蓝队表情包红队表情包今日段子欢迎小伙伴们... 2022-7-29 13:52:13 | 阅读: 48 | 收藏 | HACK学习呀 漏洞 段子 挖掘 干饭 certutil

实战 | 记一次挖掘到微软的存储型XSS漏洞的经历 这篇文章是关于微软关于我如何能够在微软的一个子域名上挖到一枚存储型 XSS 漏洞的文章。我对 Microsoft 域进行了初步信息收集并收集了一些子域名。对于子域名侦察，尤其... 2022-7-28 09:30:37 | 阅读: 19 | 收藏 | HACK学习呀 漏洞 子域 microsoft payload 盲打

实战 | 无视杀软使用远控工具进行横向移动Tips 在有杀软拦截，CS无法上线的情况下，经常用到todesk和向日葵这两个远控工具进行横向移动。不过这两个工具现在好像不怎么好用了。不过无所谓，用其他的就是了，听说最近GotoH... 2022-7-26 10:52:39 | 阅读: 23 | 收藏 | HACK学习呀 rustdesk gotohttp 端口 控制 拦截