【代码审计】对另一套钓鱼网站的代码审计
前言 之前有粉丝投稿过一篇对钓鱼网站的代码审计,然后就有位老哥给我发了另一套还算比较新的钓鱼网站的源代码让我玩玩。源码收到后拖了好几天终于抽出一点时间来审计一下并记录此文。(打工人就是一块砖,哪里需要往哪里搬~) 钓鱼网站介绍 通过本地搭建...
前言 之前有粉丝投稿过一篇对钓鱼网站的代码审计,然后就有位老哥给我发了另一套还算比较新的钓鱼网站的源代码让我玩玩。源码收到后拖了好几天终于抽出一点时间来审计一下并记录此文。(打工人就是一块砖,哪里需要往哪里搬~) 钓鱼网站介绍 通过本地搭建...
HTMLi是一个在呈现HTML代码的任何应用程序中可利用的漏洞。电子邮件是其中之一。本文的其余部分说明了如何通过目标上的注释通知功能将HTML注入电子邮件中。 Part 01 记得这里未讨论的HTML注入吗? 因此,在通知电子邮件中反映了c...
0x01 概念 隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以...
今天又是准备划水认真工作的一天,没想到一到公司领导就甩了个站过来,这可能就是打工人吧 话不多说来看看站,先信息收集一波 初步测试目标站点 打开进去是一个类似购物商城的地方,没有什么特殊的点,想要操作基本都要进行登录,中间件是nginx 再看...
一开始的时候对整个内网的拓扑结构还不熟,所以做的时候有很多方法都没有想到去用,大家多多指教。 一、环境准备 用网线连接交换机 配置Winodwss攻击机IP为172.16.6.203 攻击机Kali IP为172.16.6.202 主机IP...
这篇文章有关Microsoft如何在Microsoft的一个子域上执行Stored XSS Vulnerability的文章。 我对Microsoft域执行了初步侦查,并收集了一些子域。 1. 侦察 为了进行侦查,尤其是对于子域枚举,我使用...
背景 最近在梳理hw期间的文档,发现期间上报的攻击者IP,心里就有了个坏心思,想连上去看看这些攻击者的机器什么样子,于是便有了这篇文章。 信息收集部分 我这边只是用nmap和 fofa简单的看了一下。目标机器开了不少端口,存在好几个web服...
一个风和日丽的下午,和平常一样,审审漏洞,然后逛逛其他相关的安全论坛,翻看其他大佬们的漏洞挖掘思路,一天就这样过去了,当准备要下班的时候,发现微信一直响个不停,心里想完了(下班无望),看来又有新项目要开始了,于是打开微信,果不其然,自己猜对...
01 漏洞标题 某通信基站申报系统敏感信息泄露 02 漏洞类型 信息泄露 03 漏洞等级 低危 04 漏洞地址 http://xxx.xxx.xxx.xxxx/eas-web/main/doorshow.do 05 漏洞详情 0x01 某通...
各位憨憨 我又回来了 朋友发了一个小额贷款的站过来让俺看看 0x001 我们简单的打开看一下 发现申请列表里面的哪个id已经过滤了字符 但是切换到栏目里面去的时候 发现一个cateid的参数没过滤 好像有点的玩了 一个简单的post注入 ...