关注我们

渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

  • CaidaoMitmProxy:基于HTTP代理中转菜刀过WAF

    CaidaoMitmProxy:基于HTTP代理中转菜刀过WAF

    基于HTTP代理中转菜刀过WAF前言在实际的渗透过程中,我们常常因为WAF而头疼。源码免杀了而传输层却被拦截了实在难受。虽然现在很多优秀的应用。如蚁剑,C刀,冰蝎等。本文就通过在不修改程序源码,不重复造轮子,代码量最少的前提下实现类似冰蝎的...

    可爱的逍遥 渗透测试 2019.04.26 19297
  • 另一种Tomcat渗透Getshell技巧

    另一种Tomcat渗透Getshell技巧

    假设manager不可登录而host-manager可以登录…1. 实验环境Target:Windows server 2008 r2 x64 – Tomcat8Smbserver:kali2. 复现过程先将tomcat的host-mana...

    可爱的逍遥 渗透测试 2019.04.26 21627
  • 上传图片马遇到裁剪后的GETSHELL

    上传图片马遇到裁剪后的GETSHELL

    起因一哥们丢来一个站,IIS7.5解析漏洞,但是头像上传后解析没用,给红包让帮忙getshell。当时吧,我以为他是小白到不知道如何 copy 图片马呢,所以跟他说能搞定。。。尝试经过一番摸索尝试,发现当上传完图片后,是不知道上传的图片地址...

    可爱的逍遥 渗透测试 2019.04.21 37916
  • 【技术分享】 黑盒渗透测试的一些姿势和个人总结

    【技术分享】 黑盒渗透测试的一些姿势和个人总结

    前记对于“渗透测试”这个事,我也时常纠结,尤其在“度”的方面上,毕竟自己还很年轻。个人感觉,渗透是在不影响单位正常运营的前提下的一场完整攻击,目标是一个面不是一个点。但是,大家都懂得2333。入坑以来,跟着网上师傅们分享的各种好文章划来划去...

    七笙 渗透测试 2019.04.15 84849
  • 小技巧之突破宝塔防火墙限制上传

    小技巧之突破宝塔防火墙限制上传

    之前搞下某站,当时他没有开防火墙,导致我直接getshell。今天突然还想上去看看,发现他开了宝塔防火墙,导致我留的后门失效,菜刀无法连接了。尝试之前的漏洞上传PHP失败,被拦截。如上图,如果我直接执行一些危险的PHP函数,如phpinfo...

    可爱的逍遥 渗透测试 2019.04.15 81644
  • 记一次由百度云会员引起的审计及渗透

    记一次由百度云会员引起的审计及渗透

    前言#前天找了点域渗透的环境和资料,都是百度云盘存储的,一个镜像十几个g,下不下来,发现网上有卖百度云VIP账号的,都是一些发卡网,刚好自己最近在学代码审计,就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。开搞#目标站点...

    网友投稿 渗透测试 2019.04.12 73713
  • 渗透测试之信息搜集思路及技巧

    渗透测试之信息搜集思路及技巧

    信息搜集对于后续的渗透测试至关重要,信息的完整性决定着能否挖掘出网站漏洞,本篇文章将从几个方面讲解信息搜集的思路及技巧和具体的防范方法。1、Whois查询、网站分析:我们第一步先是信息收集,先去站长之家Whois查询网站的相关信息,如上图查...

    网友投稿 渗透测试 2019.04.06 131093
  • Discuz X3 后台GetShell

    Discuz X3 后台GetShell

    适用于 Discuz X3.3 及之前版本站长 - Ucenter 设置 - Ucenter 应用 ID填入123');file_put_contents('x.php','<?php ass...

    至爱清唇 渗透测试 2019.02.28 186914
  • 渗透测试概述·什么是渗透测试

    渗透测试概述·什么是渗透测试

    渗透测试(penetration test,pentest)是实施安全评估(即审计)的具体手段。渗透测试可能是单独进行的一项工作,也可能是常规研发生命周期(例如,Microsoft SDLC)里 IT 安全风险管理的一个组成部分。产品的安全...

    Lzers 渗透测试 2019.02.25 241807
  • e看牙逻辑缺陷漏洞可导致用户信息泄露

    e看牙逻辑缺陷漏洞可导致用户信息泄露

    测试工具burpsuite漏洞类型业务逻辑缺陷密码安全问题未授权访问敏感信息泄漏漏洞标签业务逻辑漏洞密码安全问题敏感信息泄漏问题点:https://lc.lctest.cn:9001/api/v1/PersonAccount/UserCre...

    Lzers 渗透测试 2019.02.23 1100113