周末在某個QQ群偶然看到這個釣魚網站：http://gggggg.cn （聲明：本文中出現的域名、IP均被替換，並非真實存在，請勿測試），於是開始對該網站進行滲透。觀察網站頁面，可知這個網站應該是用來盜取QQ賬號的。除了域名沒有一點迷惑性，網站頁面做的還行。 如果用戶不注意，點擊了 立即申請 ...

無聊正玩着手機QQ空間，發現來了一條消息，就打開看了下。 看見有人@了我一下 標題挺吸引人的，呵呵...有點常識經驗的一看 就知道不是什么好事的，然后點開看了下 可以發現此號@了很多和這個號有聯系的QQ好友，估計我這位朋友的號被盜用了，才會發這些帶有釣魚網站的說說 ...

一、信息收集 首先對網站的信息進行判斷，可以很明顯的判斷出來是dedecms（織夢） 鑒於織夢的漏洞比較多，我們先對網站的信息進行一下收集，再進行下一步的操作。在這里我們可以判斷網站使用了安全狗的防護。 我們再去站長平台來對網站進行一次檢測，我們可以看到網站的IP地址，並且判斷 ...

0x00 滲透測試目標 目標：荷蘭某廠商(不好意思,廠商信息不能寫) 內容：滲透測試 0x01 信息收集 服務器：Microsoft-IIS/7.5 Web應用：ASP.NET 數據庫：Access(數據庫也太小了) 目標端口：掃描了沒啥有用的。 Whois ...

話說剛開始接觸安全測試時，沒有一個系統的概念，前輩仍一個內網測試網站，讓我把的shell拿下來，那我就開始吭哧吭哧的干起來。 首先，做滲透測試要有個思路，不能埋頭苦干。所以就開始理了下思路，具體如下： 判斷有無sql注入點，根據sql注入點來判斷數據庫類型，若是mssqlserver ...

前言 無意間發現一個thinkphp的菠菜站，最近tp不是剛好有個漏洞嗎？然后就順手測試了一下，但過程並不太順利，不過最后還是拿下了，所以特發此文分享下思路。 0x00 一鍵getshell？ 簡單看了下，應該有不少人玩吧？ 正好前幾天寫了個測試工具，先掏出來測試一發。 工具顯示存在 ...

前言 無意間發現一個thinkphp的菠菜站，最近tp不是剛好有個漏洞嗎？然后就順手測試了一下，但過程並不太順利，不過最后還是拿下了，所以特發此文分享下思路。 0x00 一鍵getshell？ 簡單看了下，應該有不少人玩吧？ 正好前幾天寫了個測試工具，先掏出來測試一發。 工具顯示存在 ...

0x00 寫在前頭 今天翻了一下之前的筆記，翻到一個之前的測試記錄 竟然在18年12月寫的，這都19年7月份了。 沒啥技術可言，純粹發上來記錄一下，不然就真的塵封了。 （順便給博客除草，嘿嘿~） 0x01 前言 一個好友群里面發了個圖片，說是微信18年年 ...