硫酸超的博客

漏洞发现-API 接口服务之漏洞探针类型利用修复接口服务类安全测试演示案例端口服务类-Tomcat弱口令安全问题端口服务类-Glassfish任意文件读取其他补充类基于端口WEB站点又测试其他补充类-基于城名WEB站点又测试其他补充类基于IP配合端口信息再收集口令安全脚本工具简要使用-SnetcrackerAPI接口类-网络服务类探针利用测试-AWVS接口服务类安全测试根据前期信息收集针对目标端口服务类探针后进行的安全测试，主要涉及攻击方法：口令安全，WEB类漏洞，版本漏洞等，其中产生的危害可大可小

漏洞发现-APP 应用之漏洞探针类型利用修复思路说明案例演示：抓包工具 WEB 协议面使用说明抓包工具非 WEB 协议面使用说明安卓逆向便捷 APK 一键提取 URL 演示思路说明反编译提取 URL 或抓包获取 URL，进行 WEB 应用测试，如不存在或走其他协议的情况下，需采用网络接口抓包进行数据获取，转至其他协议安全测试#APP->WEB APP->其他 APP->逆向#WEB 抓包，其他协议抓包演示及说明#未逆向层面进行抓包区分各协议测试#逆向层面进行提取 APK 代码

漏洞发现-WEB 应用之漏洞探针类型利用修复已知 CMS如常见的 dedecms.discuz,wordpress 等源码结构，这种一般采用非框架类开发，但也有少部分采用的是框架类开发，针对此类源码程序的安全检测，我们要利用公开的漏洞进行测试，如不存在可采用白盒代码审计自行挖掘。开发框架如常见的 thinkphp，spring,flask 等开发的源码程序，这种源码程序正常的安全测试思路：先获取对应的开发框架信息(名字，版本)，通过公开的框架类安全问题进行测试，如不存在可采用白盒代码审计自行

漏洞发现-操作系统之漏洞探针类型利用修复探针GobyNmapNessus类型利用工具框架Metasploit永恒之蓝Searchsploit企业单位内部产品expCNVDseebugexploit-dbpacketstorm Security复现文件探针GobyNmapNessus类型远程控制权限提升缓冲区溢出利用工具框架Metasploitmetasploit渗透测试入门永恒之蓝攻击失败getuidipconfignet userSear