实战|众测挖洞经验分享

前言一次众测参加的项目，目标是学校，比较简单，打开给的目标文档，全部都是某地区学校的网站，一共1000多个，大部分都是静态页面，没什么测的，先拿扫描器扫一波，然后慢慢手测反射型xss反射型xss，扫描

五一专享，最后一天

记一次从任意文件下载到getshell

文章首发在：奇安信攻防社区https://forum.butian.net/share/4031从下载慢慢探索，总归还是有一点乐趣。下载接口的获取地市攻防起手，这样的一个页面，看着就比较没那么的新，然

五一专享，节后删

假期专享，节后删

SRC舔狗日常

No.0起源某月某日 星期二 天气多云转暴雨我刚冒雨给心仪的女神小彤送上了杯热腾腾的一点点奶茶"波霸椰果四季奶青要热的不另外加糖，谢谢"在得到了她包含爱意的背影后我决定奋发图强，挖洞赚钱争取早日和她成

假期专享，节后删

五一专享，节后删

Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法

平时在做渗透的时候，偶尔会遇到一些java应用的配置文件做了加密，常见的有druid、jasypt对数据库连接字符串的保护，这些比较经典的加密已经有仙贝写好了脚本，有一些现成的工具可以直接解密。但是有

SRC专项知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

文件上传黑名单限制的绕过总结

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与

SRC专项知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

揭秘千万漏洞赏金密码！跟着漏洞挖掘大神解锁 SRC 变现新赛道

小编寄语小笼包携手黑色键盘，两位大佬强强联合，开始授课啦，小编给大家要了个福利，即报“Z2O安全攻防”暗号可享早鸟价格哦~SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾《联合打造》SRC漏洞挖掘培

网络安全自学路线建议

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与

SRC专项知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

汉堡白吃？某连锁餐饮 App 竟藏"0元购"漏洞！

前言作为一名日常喜欢点外卖、又喜欢吃汉堡的苦逼大学生，我最近在某汉堡连锁店的点餐小程序里，发现了一个支付逻辑漏洞，可以实现0元购。当然，作为有职业道德修养的大学生，发现后第一时间上报了平台并协助修复。

一名合格红队的成长之路

首先这是一篇内部学习圈广告😜别着急退，看完全文的师傅们有福了/doge你是否经历过：❌ 市面上课程大几K 起步，你打开自己的支付宝微信银行卡查看余额，默默退出课程报名网页❌ 自学过程没有正反馈，但坚

AI自动化代码审计RCE

原文链接：https://xz.aliyun.com/news/17327前言 AI最近的趋势持续偏高，用AI来写代码，挖漏洞甚至于审计代码的文章或者工具都非常多，最近刚好在学习AI安全，并且php相

SRC专项知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

请立即拿下软考证书（政策风口）

重大利好！！如今80%的运维、网工人都在冲软考证：国家认证、报名费更低、含金量更高。🔥而且今年正值改革变动期，考试难度最小，是最好拿证的一年。如果想今年一次拿下软考证书，强烈建议大家考【高级-系统架构

Parameter is null引发的一次五千漏洞赏金记录

0x01 前言Missing parameter？Parameter is null？一次众测实战教你如何高效的找出缺少的参数。0x02 漏洞背景一次众测项目，称其为https://uctenter.

一名合格红队的成长之路

首先这是一篇内部学习圈广告😜别着急退，看完全文的师傅们有福了/doge你是否经历过：❌ 市面上课程大几K 起步，你打开自己的支付宝微信银行卡查看余额，默默退出课程报名网页❌ 自学过程没有正反馈，但坚

密码喷洒攻防实战：Microsoft Entra SSO功能的滥用与防御

Microsoft Entra 无缝单一登录（Seamless Single Sign-On）是微软推出的一种高级身份验证和访问管理功能。通过无缝单一登录，用户在受支持的企业网络环境中登录过一次后，无

.NET安全从零到一学习

每个时代的安全议题皆与当时社会的核心价值紧密相连。农业社会以土地为基，工业以能源为王，而在AI与大数据双轮驱动的全新时代，数据与语料已晋升为新时代的“石油”，其重要性不言而喻。因此，保障数据与信息的完

柳暗花明又一村（nacos登录骚操作）

前言柳暗花明又一村不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。‍nacos以前没试过,挺有用.发现一个nacos，默认口令不行，直接上工具梭哈一把，没什么用，访问的时候正好走了burp

SRC专项知识库

建立了一个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞圈子专注于更新src相关：1、维护更新src专项漏洞知识库，包含原理、挖

HVV培训视频&最新2025国HVV精英招募

HVV培训视频：https://pan.quark.cn/s/d0b5c5e54089内部通道，即投即面，招满为止。招聘岗位蓝队中级、高级技能要求初级工程师1.年龄20周岁及以上，有攻防演练、重保蓝队

【海外SRC实战】硬刚世界500强企业WAF，连斩两枚海外XSS

01前言分享两个海外大型SRC厂商的XSS成功绕过WAF的案例，觉得挺有趣的，遂整理成文，大佬们轻喷~02XSS绕过01某全球顶级网络设备商首先，URL是这样的 https://axxx.test.

一名合格红队的成长之路

首先这是一篇内部学习圈广告😜别着急退，看完全文的师傅们有福了/doge你是否经历过：❌ 市面上课程大几K 起步，你打开自己的支付宝微信银行卡查看余额，默默退出课程报名网页❌ 自学过程没有正反馈，但坚

一名合格红队的成长之路

首先这是一篇内部学习圈广告😜别着急退，看完全文的师傅们有福了/doge你是否经历过：❌ 市面上课程大几K 起步，你打开自己的支付宝微信银行卡查看余额，默默退出课程报名网页❌ 自学过程没有正反馈，但坚