twopigs

FreeWill

2022-02-11

tp日志包含getshell

header写入日志文件->文件包含getshell 错误日志写入shell 包含日志getshell，日志文件位置：/runtime/log/202111/12.log文件名为日期分割

专业技术区 / 渗透测试

👁️ 63

💬 0

Simon

2022-01-09

记一次被割之后的反思

起因昨晚被firstdogefomo了，一时冲动冲了一个绿马预售的土狗，叫做firstjoy,冲了之后才发现被割了，妈的口号喊的响亮，光吹牛不拉盘，事后通过技术手段复盘了一下，发现情绪才是一切的源头。....

专业技术区 / 渗透测试

👁️ 33

💬 0

FreeWill

2021-11-22

Thinkphp 5.0.x通杀gethell

thinkphp5.0.*通杀getshellpoc_1importrequests defpost_command(host):headers={“User-Agent”:“Mozilla/5.0....

专业技术区 / 渗透测试

👁️ 161

💬 0

Fucker

2021-08-11

记一次面试导致的渗透getshell

记得上上周吧接到了一个电话说想让我去工作当管理层，我当时先稳住了他，因为我知道如果去了私人的小公司那将是毁灭性的灾难，所以我挂掉电话立马去做了一次“深入的”调查。我首先百度了一下他的网站，看到有链接遂....

专业技术区 / 渗透测试

👁️ 20

💬 0

FreeWill

2021-03-15

伪造XFF头绕过服务器IP过滤

IP伪造TCP/IP层面的IP伪造很难实现，因为更改后很难实现正常的TCP通信，但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段X-Forwarded-For(XFF)....

专业技术区 / 渗透测试

👁️ 5

💬 0

FreeWill

2021-03-14

Linux应急响应8大排查

Linux应急相应8大排查1.账号排查1.1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash account:password:uid:gid:gec....

专业技术区 / 渗透测试

👁️ 6

💬 0

phper

2021-03-08

进入数据库之后的Getshell思路

进入到了数据库之后想要进一步渗透，那么可以进行如下步骤：信息收集->爆出物理路径->getshll 信息收集此部分主要需要收集的是网站物理路径，否则后续无法通过URL连接Shell 物理路径查询数据库....

专业技术区 / 渗透测试

👁️ 15

💬 0

FreeWill

2021-03-02

Redis未授权访问漏洞复现与利用

1.什么是redis未授权访问漏洞Redis默认情况下，会绑定在0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源ip访问等，这样将会将Redis服务暴露到公网....

专业技术区 / 渗透测试

👁️ 12

💬 0

phper

2021-03-02

nmap需要sudo权限的原因

常用nmap的同学就知道，如果你要进行UDP或TCPSYN扫描，需要有root权限： $nmap-sUtarget Yourequestedascantypewhichrequiresrootpriv....

专业技术区 / 渗透测试

👁️ 12

💬 0

pythoner

2021-02-24

Jenkins 系列漏洞

漏洞简介Jenkins是常见的CI/CD服务器,最常见的就是爆破弱口令然后使用groovy执行命令影响组件Jenkins 漏洞指纹Jenkins FofaDorkapp=”Jenkins” 漏洞分析....

专业技术区 / 渗透测试

👁️ 8

💬 0

pythoner

2021-02-24

Websphere 反序列化远程代码执行

漏洞简介Websphere也是常见的java服务器,CVE-2015-7450(由于CommentsCollections反序列化引起的,应该是反序列化第一次被公众关注),去年暴露了一个CVE-201....

专业技术区 / 渗透测试

👁️ 0

💬 0

pythoner

2021-02-24

Jboss 相关漏洞

漏洞简介JBoss是一个基于J2EE的开放源代码应用服务器,用户数量较大,一些版本受到反序列化等漏洞影响影响组件Jboss 漏洞指纹Jboss FofaDorkapp=”JBoss” 漏洞分析打开J....

专业技术区 / 渗透测试

👁️ 5

💬 0

配合钉钉监控地址发送Deployer动态

由王者荣耀查QQ引发的思考：抓包？头像接口找qq？uid找qq？

如何通过微信转账记录找到TA的微信号

如何社工到QQ小世界里小姐姐的联系方式?

史上最全的钓鱼对方IP方法

2022-06-17

入侵上帝的电脑，修改我这可笑的命运

2022-06-02

本社区一切币种信息仅作分享，不构成投资建议

2022-05-13

投稿已恢复正常使用

2022-05-12

5/12 投稿调试，今日投稿无法使用

......