最近在刷CTF的题，遇到一道使用HDwiki5.1作为背景的Web题目，解题思路是利用SQL注入漏洞爆出用户名和密码，然后使用用户名和密码登录进去，再利用网站提供的模板上传功能上传一句话木马，从而获...

就在几天前我针对Linux服务器池做了一次渗透测试，在我执行这项任务的时候我就知道在这些服务器上存在很大的密码重用概率。我设法获取其中一个服务器上的shell并通过使用privesc内核漏洞来取得r...

由于最近对Red-Blue Team Operations的研究，我对各种后期开发框架产生了兴趣。自从Windows 7和Windows 10中默认发布PowerShell的广泛采用以来，它已经成为笔测试者和红队的热门选择。以下文章...

*本文原创作者：起于凡而非于凡，本文属FreeBuf原创奖励计划，未经许可禁止转载注：本文和等保联系其实并不大，主要还是说一些linux里细节一些的东西，而且很有可能会浪费你生命中的好几分钟…...

*本文作者：F1tz，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。前言网上有很多关于CSRF High等级的通关记录，但是都有一个缺陷，没有做到自动触发修改密码。这里记录了我在解题时的思路，...

前言以前觉得sqlmap自己玩得挺溜了，结果最近有一个任务，需要调用sqlmap api接口来验证存在sql注入漏洞的站点，一开始听到这个任务觉得完了，可能完成不了了。后来我去网上搜了搜相关的资料，...

*本文原创作者：Hackhy，本文属于FreeBuf原创奖励计划，未经许可禁止转载来源网络，回馈网络对一个网站挖掘的深浅来说，信息收集是非常的重要的，这篇文章主要分享本人在渗透测试信息收集阶段的...

前言Xposed作为一个著名的Hook框架，早已经在移动安全行业家喻户晓。今天写这篇文章主要也是想下手玩玩这个框架，至于框架的安装，虽然也会碰见很多问题，但是今天暂不附上教程，因为最近精力有...

前言最近才开始学习安全，虽然练习过南邮CTF和Bugku的CTF，但是打各种线上CTF经常不尽人意，因为最近的比赛都有着一个新手入门CTF不常遇到的考点—————反序列化。看了很多师傅们，各种前辈...

FreeBuf早报，安全圈值得关注的每日大事件 【全球动态】1. 谷歌发布面向计算隐私的开源工具【外刊-阅读原文】谷歌发布了一款全新的开源加密工具，旨在提高敏感数据集的隐私性。该工具名为P...