企业src/edusrc漏洞挖掘
文章平均质量分 91
专门带师傅们挖掘企业src和edusrc的专栏文章。
有需要的师傅们可以加我的内部小圈子,还有福利资源。
技术交流VX:routing_love
一个想当文人的黑客
想加内部圈子,请联系我!文章交流:vx:routing_love
博主资源
需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号:9081196
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告
展开
-
技术文章 | 针对thinkphp站点的漏洞挖掘和经验分享
目前在学习和研究thinkphp相关漏洞的打法,然后最近对于thinkphp资产的收集方面有了一个简单的认识,然后写一篇新手看的thinkphp相关的漏洞收集和挖掘的文章来分享下。然后后面是给师傅们分享下后台文件上传,然后直接打一个getshell的漏洞点。ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。原创 2024-09-27 08:15:47 · 568 阅读 · 0 评论 -
实战纪实 | 记一次AccessKey值泄露的挖掘和分析
下面是分享云安全相关的漏洞,讲解怎么利用AccessKey进而接管云环境的,但是我们首先得知道AccessKey的组成,比如说你看到AccessKey里面的字段和关键字,你不知道是什么,也不知道是什么厂商的云服务器,那就无法快速准确的利用这个AccessKey相关云环境漏洞了。这篇文章主要是给师傅们介绍access-key相关的打法,感兴趣的师傅们可以尝试下,然后可以使用下我在文章里面介绍到的两款工具,是目前专门来打access-key泄露以及云主机环境的漏洞工具了。原创 2024-09-26 08:40:20 · 732 阅读 · 0 评论 -
实战纪实 | 记某研究院多处漏洞复盘
这次分享的文章是前段时间我一个师傅让我测的某学校的研究院,里面测试出来了蛮多的漏洞的,这次给师傅们分享一波心得体会!上面一共分享了好几个该研究院的漏洞,该文章的漏洞相关复盘,写的也很清楚,对小白也很友好,希望对师傅们有帮助吧!文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!原创 2024-09-25 08:26:46 · 847 阅读 · 0 评论 -
src漏洞挖掘 | 记某学校网站的一次漏洞挖掘
这是我第一次写漏洞分享的文章,主要是最近跟着几个厉害的师傅一起学习,挖了几个比较简单的漏洞,今天拿出来给大家分享下(大佬勿喷啊)。这里我是有目的地去对某机构或者某学校进行渗透测试漏洞挖掘的,之前在网上看到很多文章说可以直接去edusrc官网的漏洞排行榜上去找,可以去看一些开发商排行榜以及某些高校大学的排行榜,里面有很多的该公司或者该学校的漏洞提交情况以及修补情况。原创 2024-09-24 10:01:54 · 576 阅读 · 0 评论 -
src漏洞挖掘 | 针对Druid框架漏洞的挖掘技巧
这次是跟着厉害的师傅学习的,然后自己在网上找了比较多的教程,先是在本地搭建的Druid靶场,然后自己打了一遍。其实以前我也是经常会打VulnHub靶场的,也是碰到过的,像Druid框架的网站的话,要是碰到先试试弱口令,然后再试试常见的接口未授权漏洞,后面再打打其他的nday。这篇文章写的有点急,可能写的不是那么好,希望师傅大佬们不要喷我哈!哈哈哈这篇文章呢,主要是给师傅们分享下Druid框架漏洞的相关,给师傅们提供下简单的对于Druid漏洞的思路。希望对师傅们有帮助哈!想加内部圈子,请联系我!原创 2024-09-23 17:29:00 · 871 阅读 · 0 评论 -
小白src挖掘 | 记一次通过信息收集进入学校管理后台
这里给师傅们分享下常见的信息收集的姿势,主要是对于碰到一些比如这次我要分享的一个案例,就是很常见的比如deusrc中的统一身份认证或者就是使用学号作账号,然后身份证后六位作密码之类的,一般常见的都是需要信息收集找相关的账号密码。上面分享的案例就是真实的可以通过一个信息收集,利用网上的一些检索语法,比如Google黑客语法等去找一些该你平常可能找不到的信息,但是通过一些黑客语法能找到相关的信息,然后去利用这些收集到的信息去打这个测试的站点。原创 2024-09-22 10:20:05 · 645 阅读 · 0 评论 -
小白src挖掘 | 记某证书站的虚拟仿真实验平台
看社区师傅们都分享了一波edusrc的证书站漏洞的挖掘,那我这不得给师傅们也分享一波,哈哈哈!下面这个漏洞的挖掘过程呢,主要是通过信息收集和对目标资产的一个资产收集,然后再通过平常的挖掘发现,去找到一个在平常容易出漏洞的一个点,然后去尝试挖掘,主要是自己得细心,然后有时候确实靠运气,有时候能够碰到简单的漏洞,让自己捡一个。上面是对某证书站的一次渗透测试,然后对应证书站的一个挖掘吧,然后主要是对于一个信息收集的一个过程,这篇文章写的不长,看起来可能偏简单。原创 2024-09-21 10:47:50 · 930 阅读 · 0 评论