网络攻防共29篇
排序
![[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法,网络安全爱好者中心-神域博客网](https://img.godyu.com/2026/05/20260515121321354.png)
[云OSS存储桶利用]记录一次某众测临时STS列桶利用-附方法
前言 仅供知识学习分享,敏感信息已打码 入口 STS列桶学习文章 mp.weixin.qq.com/s/NYoQ4QUqqWPOb86z2I7vxg?scene=1 其实过程很简单 小程序起手这里其中一个数据包泄露了sts 这里泄露了临时的acc...
41天前
EDUSRC-证书及感谢信一览
翻出了之前在EDUSRC提交漏洞兑换的证书 目前大概50张+,还有一部分未发货。整理出来,希望能给同样在安全路上探索的小伙伴一点参考与鼓励。 早年黑盒挖掘,擅长黑盒挖掘0day尤其是逻辑,后来在...
4个月前![[云攻防]微信小程序强开F12- alt=](https://img.godyu.com/2025/11/20251127110532914.png)
反编译-js逆向到-Usersig泄露到腾讯云rest任意接口调用,网络安全爱好者中心-神域博客网" class="fit-cover radius8">[云攻防]微信小程序强开F12->反编译-js逆向到-Usersig泄露到腾讯云rest任意接口调用
免责声明 仅为技术交流 入口 微信小程序打点 强开F12调试 找到一个接口组成是腾讯云/userSig的标识 拼接参数发现缺少userID 拼接后发现进行了AES魔改加密 反编译小程序详细分析加密方式 编写脚...
7个月前
记录一次很久之前一次内网渗透的经历(攻防技巧包括后渗透及维权)
进入内网后搭建隧道(除了本内网遇到的外,也分享真实攻防中打内网的思路 部分可以刷分的思路暂不分享 部分精华内容(如vcenter 提权等 大屏权限 部分nday POC 特敏感的暂不分享 ) 被控端是window...
11个月前![[上线vshell]-fastjson漏洞分析复现-及自动化工具检测,网络安全爱好者中心-神域博客网](https://img.godyu.com/2025/11/20251106054349852.png)
[上线vshell]-fastjson漏洞分析复现-及自动化工具检测
免责声明 仅为个人学习使用,请勿实时违法行为,责任与个人无关 VPS是自己买的服务器搭建的环境,请在合法授权中测试 搭建环境 vulhub/fastjson/1.2.24-rce at master · vulhub/vulhub · GitHub ...
11个月前
关于CSRF在实战渗透中的真实应用
CSRF在挖洞中就像XSS SSRF一样不起眼 比如在edusrc当中就给低危1分 但在实战当中 CSRF SSRF XSS(存储型)都具有重大作用 现在我就用一套源码来演示CSRF(跨站请求伪造漏洞) 通过CSRF-伪造钓鱼链接...
2年前![[5.16]从微信小程序越权渗透某edu站的实例,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240522095651301.png)
[5.16]从微信小程序越权渗透某edu站的实例
引入 来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路, 漏洞1:未授权访问 填写信息 之后查看申请记录 此时可得到/api/applyInfo/getListById接口 构造数据包(POC在圈内) 遍历...
2年前![[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/05/20240520143248539.jpg)
[5.20]从抖音信息收集到微信小程序sessionkey泄露伪造登录渗透某edu站
sessionkey引入 微信sessionkey是微信小程序开发中用于标识用户会话的一串密钥。当用户在微信小程序中进行登录操作时,微信服务器会返回一个session_key,开发者可以使用这个session_key来获取...
2年前用户信息
![郑州轻工业OJ全部答案题解合集[前200更新完毕],网络安全爱好者中心-神域博客网](https://img.godyu.com/2023/10/20220325152615602.png)
![[LitCTF]cha0s-Writeup,网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/06/20240602034759133.png)
