hush的文章

2022-03-24hush阅读(144)赞(0)

前言 某日接到一个项目,只给了一个二维码。 1、数据管理系统 扫描二维码后在页面下方得到该公司的名字,百度搜索该公司的名字,找到一个数据中心。 访问该页面后发现存在用户名遍历,使用Burp爆破”常见用户名Top500″...

2022-03-23hush阅读(105)赞(0)

现在越来越多的网站也已经应用了这些技术对其数据接口进行了保护，在做爬虫时如果我们遇到了这种情况，我们可能就不得不硬着头皮来去想方设法找出其中隐含的关键逻辑了，这个过程我们可以称之为 JavaScript 逆向。 既然我们要做 JavaScr...

2022-03-22hush阅读(138)赞(0)

0x01 前言 新搬的地方还没有安装WIFI，流量手机流量快烧完了，看着附近的WIFI，很是心动。于是上网搜索了一下教程进行试验，试验过程和结果，仅作为学习记录。 0x02 实验环境 台式机 Kali虚拟机 无线网卡 菜鸡一只 0x03 实...

2022-03-21hush阅读(130)赞(0)

这篇文章是21年中旬记录的，平安夜p牛的直播中也谈到，对于渗透测试来说最好有一个checklist，为了避免忘记测试某一部分的内容而错过一些重要信息，同时有了checklist也容易利用自己喜欢的语言实现自动化，突然想起了这篇信息搜集相关的...

2022-03-20hush阅读(169)赞(0)

01 确定病毒文件位置 首先需要确定后门运行时的行为，处置目标多数都是以获取目标 样本，排查入侵来源，在排查中最高效直接的自然就是用杀软杀毒， 如果当前杀软杀不出来，那就多换几个，当然，勒索病毒除外。首先需要通过排查端口连接以及进程去确定病...

2022-03-19hush阅读(121)赞(0)

ZheTian强大的远程加载和执行ShellCode工具，免杀shellcode加载框架 命令详解 -u string：从远程服务器加载base64混淆后的字节码。 -r string：从本地文件内读。 -s string：读取无修改的原始...

2022-03-18hush阅读(148)赞(0)

所谓“杀猪盘”，是指诈骗分子利用网络交友通常是异性交友，诱导受害人下载诈骗APP并在上面进行各种“投资”，如博彩、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局，他先是被骗子通过QQ添加并下载了一个名为”心动“的APP，...

2022-03-17hush阅读(163)赞(0)

0x00 前言 能完成这次渗透纯属是信息收集做到位了。很多其实都是分散的信息，在某一次关键点集合起来就有可能拿到权限。这个漏洞已提交补天并修复完成了。 0x01 信息收集 一、发现敏感信息 此次使用的方法： Google Hack Gith...

2022-03-16hush阅读(163)赞(0)

0x00前言 接到任务，需要对一些违法网站做渗透测试…… 0x01信息收集 根据提供的目标，打开网站如下 在尝试弱口令无果后，根据其特征去fofa以及谷歌搜了半天，期间搜出好多个UI差不多的网站，后来发现其实这些站点都是 UI 做了变动，后...

2022-03-15hush阅读(133)赞(0)

0x00 前言 看到了某篇关于站库分离类型站点相关的讨论，想总结下信息收集的技巧。 0x01 正文 关于站库分离类型站点网上暂时没有找到总结性的文章，所以想尝试记录下关于站库分离类型站点的渗透思路。 对站库分离类型站点通常可以有两个渗透入口...