截取信息解密服务器,【挖洞思路】从漏洞扫描、获取信息、密码解密到撰写报告,看我如何成功获取CNVD证书!...

最新推荐文章于 2024-05-14 09:04:43 发布
最新推荐文章于 2024-05-14 09:04:43 发布
阅读量926 收藏 13
点赞数 2
文章标签: 截取信息解密服务器

应二哥的邀请,我在这里写一下我拿到cnvd高危漏洞的简单过程,其实过程很简单,只是个简单的sql注入,但重要的是思路,在拿到一个站点的情况下发现通用漏洞不会错过。

先发个证书瞅瞅,CNVD证书是这样的,是由国家计算机网络应急技术处理协调中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

8ba8289e515826d2c967c9c8f8888cb8.png

漏洞详细URL(举例)

主链接:

http://www.XXX.com/_tw/index.html

出现漏洞的部分链接:

ebebb24d8efb30857172db76f1951321.png

操作步骤

以其中一个网站为例

1.打开网站页面

48ae8b84893072bcd1b84900d5a0c1ef.png

2.复制url :http://www.XXX.com/,将url放在御剑工具左栏,开始ping这个域名,并且开始

最低0.47元/天 解锁文章
予晚
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2023年06月 网络安全高级班 084.CNVD原创漏洞证书(挖掘思路
时光隧道
06-02 7957
CNVD原创漏洞证书挖掘步骤:搜集信息:收集相关网站、应用程序、操作系统等的漏洞信息,包括CVE编号、漏洞类型、危害程度等。端口扫描:通过端口扫描工具扫描目标IP地址,找到开放的端口和服务,确定需要测试的应用程序和系统。漏洞验证:使用漏洞验证工具或手工验证漏洞,确认漏洞存在性和危害程度。漏洞利用:针对已验证的漏洞进行攻击测试,确认漏洞的可利用性和危害程度。报告:根据漏洞测试结果,编漏洞报告,包括漏洞描述、漏洞影响、漏洞利用方式、漏洞修复建议等。
cnvd通用型漏洞挖掘小知识(1)
热门推荐
qq_52074678的博客
03-17 1万+
一。什么是通用型漏洞 1.通用型漏洞指某个系统,软件,应用等对应的漏洞 比如TP的命令执行,dz的SQL注入等等,cnvd漏洞列表展示出来的都是通用型漏洞 归档漏洞证书颁发条件:(1)对于中危及中危以上通用型漏洞(CVSS2.0基准评分超过4.0分) (除小厂商的产品,非重要APP,黑盒测试案例不满10例等不颁发证书)(注:大厂商的判断标准为(注册资金5000万以上,或者案例涉及省部级以上单位的)) Tips:通用型漏洞需要提供互联网案例或者是本地代码审计证明其通用性(包括跟进函数和调试代码过程),如果
漏洞挖掘分析_审计挖掘之CNVD通用漏洞_手把手教白客记录贴
程序员三九的博客
05-14 955
前言本次内容对cnvd通用漏洞库中的进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究
快速获得CNVD证书
yggcwhat
12-26 6682
首先要明确什么样的通用漏洞可以发证书 收录标准 这里的收录标准是能获得证书的标准 事件型 事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书 通用型 中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0) 软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业.
关于漏洞挖掘
辉小鱼的博客
09-04 1954
漏洞挖掘略谈
记录一次cnvd挖掘过程
YJ_12340的博客
10-16 2939
曾经的我,以为挖掘cnvd是一个非常遥不可及的事情,注册资产5000万黑盒10案例(目前还不会代码审计吖,后续会努力学习吖!)这个门槛就已经难住我了(脚本小子的自述)。
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享 一、CNVD证书简介 CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性...
CNVD报告专用和42常见的的漏洞模板
最新发布
06-02
CNVD(China National Vulnerability Database)是中国国家信息安全漏洞库,它是我国网络安全防护的重要资源,用于收集、整理、验证、发布网络安全漏洞信息。这份名为“CNVD报告专用和42常见的漏洞模板”的压缩包...
python爬取cnvd漏洞库信息的实例
09-19
本文将介绍一个使用Python爬取中国国家信息安全漏洞库(CNVD)工控漏洞信息的实例,帮助你理解如何处理反爬虫策略并有效地抓取网页数据。 首先,我们需要了解目标网站的结构。在这个例子中,CNVD的工控漏洞库...
向日葵漏洞扫描工具 CNVD-2022-10270
03-05
向日葵漏洞扫描工具
nmap挖掘服务器漏洞(黑客攻击), script详解
键盘的起始页
08-10 1650
Nmap脚本引擎(NSE)革新了Nmap的功能,已经存在有14个类别涵盖广泛的任务,从网络发现到检测和利用安全漏洞。
网络安全kali渗透学习 web渗透入门 NAMP高级使用技巧和如何进行漏洞挖掘
xueshenlaila的博客
02-18 1433
nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供什么服务等信息。 nmap支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。还可以探测操作系统类型。 这篇文章教大家使用NMAP的技巧和如何进行漏洞扫描 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公
CNVD通用性漏洞挖掘小知识之灰盒测试
qq_52074678的博客
03-17 5570
CNVD漏洞黑盒挖掘 二CNVD原创漏洞积分与奖励(京东卡) 三漏洞挖掘之后如何提交以及总结 360quake: https://quake.360.cn/quake/#/index Fofa: https//fofa.so/ Zoomeye:https://www.zoomeye.org/ 使用网络空间搜索引擎fofa,zoomeye,360quake,结合天眼查查资产进行搜索 黑盒挖掘通用型漏洞 (1)关键字搜索 天眼查查注册资金 (2) (3)cnvd查找已知漏洞厂商 百度找相
70%网络安全事件都是人的问题
weixin_33939380的博客
07-05 396
前不久,国内两大漏洞报告平台关闭的消息引起轩然大波,也把网络安全问题再次拉进了人们的视野。 漏洞报告平台的“漏洞” 漏洞报告平台(又称“白帽子”)的功能是帮助客户“挖”网络系统的“漏洞”,从而达到预警客户使其及时修补,以免遭受黑客攻击造成损失。而就在7月下旬,国内两大知名漏洞报告平台“漏洞盒子”和“乌云”相继出现了无法访问情况。 由此,网络安全人士对网络...
网络安全专家应该具有的安全能力
m0_73803866的博客
09-25 787
通过提供真实的训练环境,开放实战工具箱和资源,定制专属课程、 顶级黑客进行技术教学,依托长期积累,利用独有的技术人才优势,培养出具有顶级技术的 网络安全实战型人才,为行业提供强有力的人才保障,提升支撑安全业务的各项能力,应对 新形势下的网络安全挑战。GS 就是通过对缓冲区数据 的各种校验机制,防止缓冲区溢出攻击的发生。态势和层出不穷的攻击手段,补天平台采用 SRC、众测等方式 服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助 企业树立动态、综合的防护理念,守护企业网络安全。
漏洞挖掘之通达OA2017任意文件上传(漏洞已失效)
crowsec
02-10 3294
通达OA系统代表了协同OA的先进理念,16年研发铸就成熟OA产品,协同OA软件行业唯一央企团队研发,多次摘取国内OA软件金奖,拥有2万多家正式用户,8万多家免费版用户。
记一次CNVD通用漏洞审计
jklbnm12的博客
10-11 891
0x01 前言 这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低权限用户成功进入后台,在后台寻找功能点通过抓包分析,定位到目标系统后台存在SQL注入,通过os shell拿下内网之后闲着无聊就谷歌了下,发现这个系统的开发商是某某公司,同时cnvd也没有收录该产品,于是想着能不能捡漏搞个cnvd证书。 碍于信息检索能力太差,只收集到屈指可数的几个url,而且这几个系统都没有弱口令可以进入后台,因为进不了后台,就猜测后台的功能也都无法使用,漏洞无法复现,于是在知道肯定过不了的情况下还是
浅析通过"监控"来辅助进行漏洞挖掘
dfdhxb995397的博客
10-30 154
这篇文章总结了一些笔者个人在漏洞挖掘这一块的"姿势",看了下好像也没相关类似TIPs或者文章出现,就下此文。 本文作者:Auther : vulkey@MstLab(米斯特安全攻防实验室) 前言 “监控”一词,相信大家很常见,例如:xxx酒店厕所被安装监控、xxx明星被狗仔24小时监控,也有奶权师傅过的《Python系列之——利用Python实现微博监控》和笔者过的《从编知...
Java 获取cnvd漏洞
09-14
### 回答1: 根据CNVD官网提供的API,可以使用Java编程语言获取CNVD漏洞信息。以下是获取最新漏洞列表的示例代码: ...以上是使用Java获取CNVD漏洞信息的基本思路,具体实现可以根据项目需求进行调整和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值