某付宝登录js分析
aHR0cHM6Ly93d3cuYWxpcGF5LmNvbS8=f12 networkCtrl+Shift +F局搜索需要解密的password关键字多次调试后最终在index.js中的393行找到g
阅读全文实战 | 记一次SQL到接口的SSRF
再一次众测项目中挖掘到一个有意思的漏洞空白页面,先扫下端口和目录Wap目录有个登录页弱口令爆破下日了,有校验本来准备换站的,刷新了一下,突然进来了?玩的就是心跳和刺激是吧,主打的就是一个陪伴是吧功能少
阅读全文SRC漏洞挖掘|助你快速成为百万赏金猎人
0x01 培训介绍在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的
阅读全文从任意文件读取到上线CS
01前言记录一次稍微有点崎岖的渗透实战,看我如何从任意文件读取,绕过模块禁用,到上线CS02渗透过程01信息收集一顿信息收集后,终于找到了这样一个资产,熟悉的师傅可能一眼就看出来了,这是fastadm
阅读全文有关src那些不为人知的隐藏秘密
正文本文纯吐槽,旨在揭露src漏洞挖掘的一些真相前几天腾讯src榜一在前两个月挖了将近100个w,后面说要被收回大半,前两天又说给了,这不是重点其实这种大佬是我今天所讲的第一类人,就是说手里面有一些通
阅读全文通过sql注入来绕过登录验证
正文目标页面和输入框:攻击者访问目标登录页面,例如 https://www.████████/852585B6003EBA25/Login.html?open。页面包含了用户名和密码的输入框。输入恶意
阅读全文桶文件覆盖之谷歌语法显神功
进入某SRC的某站点后,发现一个文件上传功能点,可以上传jpg,png,pdf,doc,gif等文件,任意上传了一个1.gif文件发现返回的储存桶文件名还是1.gif,没有对文件名加时间戳处理或者进行
阅读全文Kali Linux 系统魔改版 3.0 + 常见62个渗透工具
免责声明:1. 该安全工具仅供技术研究和教育用途。使用该工具时,请遵守适用的法律法规和道德准则。2. 该工具可能会涉及安全漏洞的测试和渗透测试,但请在授权的范围内使用,否则和作者无关3. 使用该工具可
阅读全文7天完成1亿增长!DeepSeek保姆级提效全攻略
据AI产品榜的数据显示,2025/01/20 DeepSeek-R1 发布几天后,在 1 月的最后一周迎来了爆发,DeepSeek 在 1 月累计获得1.25 亿用户(含网站(Web)、应用(App)
阅读全文【漏洞挖掘技巧】新手师傅从0到1如何挖洞
前言edusrc 不像企业 src,大部分账号就是学号+身份证号或者默认的弱密码,因此弱口令的网站量要多得多,并且学校数量众多,所以 edusrc 弱密码无疑是挖掘 src 的最好入手点。01资产搜集
阅读全文src挖掘-记一次幸运至极的验证码绕过
🌟 ❤️作者:yueji0j1anke首发于公号:剑客古月的安全屋字数:552阅读时间: 3min声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间
阅读全文一个挖掘权限类漏洞的神器
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使
阅读全文从JS接口到拿下2k家学校的超管权限
0x01 信息收集首先通过网站标题搞清楚了网站的性质,是一个某地的站群系统,集合管理着大量的子网站通过Wappalyzer了解使用的重点技术有:Java、Swagger-UI、Spring、Vue.j
阅读全文能白嫖,何必花钱(隐雾Src第六期)
.4202隐雾Src第六期/白嫖,狠狠白嫖2025年的目标,活下来年年都是寒冬,只是今年格外寒冷1 本期特色10人小班实战带挖课程特色 一名老师,十位学员,教学资源1:10
阅读全文小伙子,你要“耗子尾汁”
这是 酒仙桥六号部队 的第 139 篇文章。全文共计1681个字,预计阅读时长6分钟。前言在一个月黑风高的夜晚,我正在打游戏,突然微信像被轰炸一般,疯狂响起消息提示的声音,手机静音继续打游戏,没一会,
阅读全文从开放重定向到远程代码执行
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay
阅读全文聊一聊为什么我觉得圈子私密化是好事
半夜睡不着,今天和朋友聊到了安全的一些怪像,以及私密化,写出来玩吧。认识我的人或许知道我,我其实蛮爱分享技术的,以及其实很少小气去吝啬一些技术栈,一般而言只要问我,我都会愿意聊。哪怕是不认识的人。但其
阅读全文DeepSeek本地化部署有风险!快来看看你中招了吗?
2025年伊始,AI领域迎来一个重要变革 - DeepSeek R1开源发布,凭借着低成本、性能出众的优势,这个模型在短短几周内就获得空前关注。由于官网服务经常繁忙,大家开始选择使用Ollama+Op
阅读全文Src第六期:稳住!别浪~
4202隐雾Src第六期/稳住,别浪2023年开第一期Src培训的时候没想到自己能开到第六期,既然已经第六期了,那就告诫自己“稳住,别浪”我们坚持“一群普通的人做好一件简单的事”1 本期特色10人小
阅读全文一种很骚的新颖姿势盗取别人登陆凭证
最近OpenAI被爆出2000万个OpenAI账户的出售。看到这个新闻,我联想到以前OpenAI出现过一些与此可能相关漏洞,其中有一个很有趣的姿势,迫不及待想和各位粉丝朋友一起分享学习下。背景说明这是
阅读全文通过发现隐藏的参数值实现任意用户登录
0x01 前言 最近一段时间身体不适,微信多位师傅好友申请以及公众号留言没来得及回复,麻烦师傅们见谅。 我一直认为漏洞挖掘的根本在于信息收集,如:子域名,隐藏的接口,隐藏的参数等等
阅读全文通过供应链发起的RCE攻击
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c
阅读全文内部小程序?目光所及只有登录口,没有账号怎么测试?
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使
阅读全文