多吃点才可爱
码龄6年
关注
提问 私信
  • 博客:70,915
    社区:126
    动态:1
    71,042
    总访问量
  • 10
    原创
  • 1,101,118
    排名
  • 133
    粉丝
  • 0
    铁粉

个人简介:M78sec

IP属地以运营商信息为准,境内显示到省(区、市),境外显示到国家(地区)
IP 属地:浙江省
  • 加入CSDN时间: 2019-04-20
博客简介:

weixin_44948325的博客

查看详细资料
个人成就
  • 获得75次点赞
  • 内容获得0次评论
  • 获得200次收藏
创作历程
  • 10篇
    2022年
成就勋章
TA的专栏
  • web安全
    10篇
  • 重生之我是赏金猎人
    10篇
兴趣领域 设置
  • 网络空间安全
    系统安全web安全安全架构
创作活动更多

如何做好一份技术文档?

无论你是技术大神还是初涉此领域的新手,都欢迎分享你的宝贵经验、独到见解与创新方法,为技术传播之路点亮明灯!

174人参与 去创作
  • 最近
  • 文章
  • 代码仓
  • 资源
  • 问答
  • 帖子
  • 视频
  • 课程
  • 关注/订阅/互动
  • 收藏
搜TA的内容
搜索 取消

重生之我是赏金猎人(十)-某大厂从废弃sso登陆口到多思路fuzz获取各地高管信息

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 前言前期通过灯塔 + ffuf + oneforall 等工具组合进行子域名收集,得到目标站点,漏洞挖掘中多次踩坑成功get腾讯某后台0x02 渗透日常——单点登录目标
原创
发布博客 2022.03.26 ·
772 阅读 ·
1 点赞 ·
0 评论 ·
2 收藏

重生之我是赏金猎人(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 背景在不久前参加了一次众测项目,需对某厂商的系统进行漏洞挖掘在测试一套系统时,发现了很有意思的接口,可以操作另外两个站的输出点,以此导致多处 XSS 触发0x02 初探
原创
发布博客 2022.03.26 ·
2310 阅读 ·
1 点赞 ·
0 评论 ·
2 收藏

重生之我是赏金猎人(八)-记一次“移花接木”的getshell

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x00 项目背景...
原创
发布博客 2022.03.26 ·
490 阅读 ·
1 点赞 ·
0 评论 ·
1 收藏

重生之我是赏金猎人(七)-看我如何从FUZZ到XSS在SRC官网偷走你的个人信息

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 前奏前不久在挖掘某SRC时提交漏洞时,偶然在该SRC官网的编辑器发现了一个接口。起初以为是任意文件包含能RCE了,后来测试发现只是拼接读取了远程资源站的图片,原本都想着放
原创
发布博客 2022.03.26 ·
306 阅读 ·
0 点赞 ·
0 评论 ·
0 收藏

重生之我是赏金猎人(六)-强行多次FUZZ发现某厂商SSRF到redis密码喷洒批量反弹Shell

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 前言有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗⽹络安全相关业务可以联系我司2000⼈⽹络安全交流群,欢迎⼤
原创
发布博客 2022.03.26 ·
2817 阅读 ·
1 点赞 ·
0 评论 ·
2 收藏

重生之我是赏金猎人(五)-多手法绕过WAF挖掘某知名厂商XSS

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 前奏近在测试某知名安全⼚商的过程中,发现其⼀处重要业务的⼦域竟出现了难得⼀⻅的⾃研WAF,如此⼀来勾起了我的兴趣~仔细研究该业务点后,发现某处传参,会直接将传参内容写⼊
原创
发布博客 2022.03.26 ·
1917 阅读 ·
0 点赞 ·
0 评论 ·
1 收藏

重生之我是赏金猎人(四)-记一次有趣的客户端RCE+服务端XXE挖掘

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 起因朋友给某甲⽅做渗透测试,奈何甲⽅是某知名保险,系统太耐⺾,半天不出货兄弟喊我来⼀块来看,于是有了本⽂0x02 客户端RCE⼀处客户端RCE⼀处 朋友把靶标发给我看
原创
发布博客 2022.03.26 ·
390 阅读 ·
2 点赞 ·
0 评论 ·
3 收藏

重生之我是赏金猎人(三)-无脑挖掘某SRC getshell

0x00 项目背景该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01 前⾔有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-5470066600x02 资产收集到脆弱系统在某src挖掘过程中,本⼈通过ssl证书对域名资产进⾏了收集,通
原创
发布博客 2022.03.26 ·
3194 阅读 ·
1 点赞 ·
0 评论 ·
0 收藏

重生之我是赏金猎人(二)-逆向app破解数据包sign值实现任意数据重放添加

0x00该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01前言本期登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义。目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测试
原创
发布博客 2022.03.26 ·
349 阅读 ·
1 点赞 ·
0 评论 ·
0 收藏

重生之我是赏金猎人(一)-轻松GET某src soap注入

0x00该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。该系列首发github:https://github.com/J0o1ey/BountyHunterInChina本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。0x01在对某 SRC 测试时,本人根据其证书信息收集到了部分深度子域,并找到了其对应的业务 IP 段写了个 shell 脚本+ffuf 批量 fuzz 某 src c 段资产目录 fuz
原创
发布博客 2022.03.26 ·
3918 阅读 ·
2 点赞 ·
0 评论 ·
2 收藏