技术文章
公众号信息深度挖掘到余额盗刷
# 前言案例分享,提取他人账户余额到个人账户# 过程通过搜索公众号关键字,发现目标的一个公众号进入公众号,在公众号中发现了可交互的业务。通过查看功能,发现为统一部署的APP服务,放弃该目标,转而寻找其他薄弱的业务。依次浏览该公众号历史推文,在其中一篇推文中发现了该子公司自建的另一个公众
基于瀑布型模型而言的SDL落地流程建设的一些胡言乱语
首先要讨论SDL,你脱离了公司当前的软件开发模型就是脱离了实际能够落地的基本原则,在往空中楼阁上面走,因此了解自己公司当前的软件开发模型及软件开发流程是必须得准备工作。不要相信非技术部门的领导或者某一单一技术部门领导跟你说的软件开发模型?为啥?因为不仅安全圈子里面混子多,整个互联网
t00ls每日签到脚本
今天第一天蹭邀请码注册,听说需要保持活度,发帖或者每季度签到90天,这相当于每天都要签到了,靠手动肯定不现实直接在网站签到的话,很多代码都是t00ls.net的老代码,所以首先想到的是去抓包,但是我第一天注册忘了抓包直接签到了,看到可以微信和TG签到,想到可以通过telethon去做到每日签到,而且
简书游戏广告分析
## 问题引出今天上网时无意间打开简书,发现简书中直接插入了游戏广告:好奇心驱使下,分析了一下广告是怎么插进去的,并把过程分享一下(url中的.均用_代替)## 目录- 抓包 - 分析js依赖关系 - 分析代码 - 自动关闭广告 ### 一、抓包清除Cookie,清除缓存,抓包找广告比较好找,可以从这些图片入
关于js的一些知识总结
# 1. 渗透测试资产收集## 1.1 企业资产收集- 文章:https://www.t00ls.com/thread-68925-1-7.html## 1.2 隐形资产收集-host碰撞- 工具及原理:https://github.com/cckuailong/hostscan- 利用方式参考:https://xz.aliyun.com/t/9590## 1.3 子域名搜集> https://github.com/shmilylty/OneForAll## 1.4 j
SRC短信验证码漏洞挖掘技巧
个人认为src挖洞成就高低与个人经验和付出的时间成正比,此贴意在汇总t00ls各路大神挖洞tips。可以是一个功能点的非常规测试思路,也可以是某种类型漏洞的非常规测试思路。如:1、短信轰炸漏洞tips发送验证码时,F12控制台调试,可通过分析js代码,查看手机号次数发送逻辑,以便分析使用何种字符绕过。
疑似主机被入侵,发现存疑文件,望师傅们分析分析
事情的起因是,在进程中发现了一个NSecRTS.exe的进程,怎么也杀不掉,并且pid一直在变换,网上搜了一下,发现了几个几年前的文章《彻底解决NSEC病毒》《NSecRTS.exe可疑程序操作,进程无法关闭》等,于是怀疑自己安乱七八糟的工具被上线了;追到目录后发现可疑文件目录被设置了隐藏属性,之后在进程的路
Nessus 最新版10.5.0破解linux环境安装
网上看到好多最新版的nessus破解安装都是在windows环境下的,没有linux环境下的,所以我就自己琢磨了一下用centos尝试装一下。安装步骤如下。软件的网盘链接放附件了,有需要的下载,也可以发私信。Nessus破解版linux环境百度网盘链接-永久有效解压密码:t00ls.com1.删除之前的版本查询是否安装之前的
内网MinIO到拿分跑路-实战被轻视的MinIO
前言这两天 Minio 敏感信息泄露漏洞(CVE-2023-28432) 挺火,来蹭一波热度MinIO 提供高性能、与S3 兼容的对象存储系统,让你自己能够构建自己的云储存服务。实战中,凑巧小弟有一次通过内网部署的 Minio 拿到高分的经历,分享给各位表哥{:6_418:} 没什么技术含量,过程也与新洞无关正文拿到靶标,探测互
大佬们,求个aspx免杀大马和思路
现在情况是遇见一个.net4.0的站,传了免杀的哥斯拉冰蝎马,连接不上,马没有被杀;怀疑有流量设备,所以想传个大马,网上找了很多大马,要么被杀,要么报错;报错信息如下,因为我菜鸡不懂代码,所以希望有师傅可以分析一下情况或者给个好马子;师傅还可以简单讲讲出现这种情况的原因的话那最好不过了{
