搜索信息泄露

⌕

约 109 条结果 · 全文检索

记录一次edu从考试系统弱口令到全站信息泄露

声明本篇文章漏洞目前已经修复，关键信息已经打码，为提供渗透思路，仅供参考学习。 0x1 前言前些天edu过了一个证书站漏洞，奈何证书兑换积分还差一些，从而有了本次的渗透测试。 0x2 渗透测试通过信息收集，找到了某大学的一个考试系统，直接开干 ![图片[1]-HackTwo…

system · ◷ 1 · 2026-02-24

文章渗透测试

信息收集的重要性从 Jeecg-Boot API 泄露挖到 RCE 漏洞

信息收集系列（一）：从 API 接口信息泄露到挖掘出一个 RCE 前言：这篇文章最核心的一点就是信息收集信息收集非常重要！！！这次也不例外看我如何从小程序突破到RCE 开局：一个很普通的智慧校园开局大家挖洞应该也碰到了很多次碰到这种一般来说没有账号很难办登录不…

system · ◷ 1 · 2026-02-10

文章漏洞分析

弱口令进入后台，挖掘信息泄露、SQL 注入、任意用户接管等系列

某天中午，收到了莫佬的一条消息，一次完整的渗透测试也就此开始。测试目标开局就是一个常规登录框，没有复杂验证码、没有频率限制，最基础的弱口令测试思路直接可用。抱着试一试的心态弱口令一把梭，没想到直接登录成功。

system · ◷ 1 · 2026-02-15

文章漏洞分析

itC 中心管理服务器actionUser存在信息泄露漏洞

system · ◷ 1 · 2026-05-07

文章漏洞分析

天地伟业Easy7 loadAllUserBeans 存在敏感信息泄露

system · ◷ 1 · 2026-04-01

文章漏洞分析

itC 中心管理服务器viewServer.do存在信息泄露漏洞

system · ◷ 1 · 2026-04-22

文章渗透测试

一次完整的迎新系统渗透敏感信息泄露 + 垂直越权利用

前言一个迎新系统，和师傅们一起提升一下权限敏感信息泄露 1 进去系统，先挨个功能点瞅瞅，没发现上传点，找到了有敏感信息泄露的点 ![图片[1]-HackTwoHub社区](/images/d153fa4d5c9c0f6a.png)

system · ◷ 1 · 2026-03-20

文章漏洞分析

宏脉医美行业管理系统hmcConfig存在信息泄露漏洞

system · ◷ 1 · 2026-04-01

文章SRC安全研究

MT SRC 实战接口未授权和临时凭证泄露

以下用户组可查看及更高等级认证用户登录后查看我的权限登录注册

system · ◷ 1 · 2026-03-02

文章渗透测试

一个低危目录遍历，泄露 10w + 摄像头实时画面

作为一名职业高危（laji）猎手，这我能满足吗，指定是不行啊。吃了口饭想办法扩大危害，突然想到web根目录逃逸，直接拼../看看。直接逃出来了，从web目录遍历直接升级到主机目录遍历

system · ◷ 1 · 2026-02-10

文章企业安全

CNVD证书挖掘和资产收集

0x1 前言挖掘CNVD漏洞有时候其实比一般的edusrc还好挖，但是一般要挖证书的话，还是需要花时间的，其中信息收集，公司资产确定等操作需要花费一定时间的。下面就记录下我之前跟一个师傅学习的一个垂直越权成功的CNVD漏洞通杀（仅作为思路分享）。 0x2 信息收集——githu…

system · ◷ 1 · 2026-04-18

文章IoT安全

一篇文章看懂车联网中整车测试所存在的攻击面

IOT 硬件层面的测试，而整车测试涉及的面更广，包括 WEB 测试，Android 测试， CAN 总线测试，近场通信，蓝牙、 GPS 等。因此，本文会先着重讲整车测试中所存在的攻击面。车载信息娱乐系统车载信息娱乐（ IVI ）系统指的是结合了信息娱乐功能的车载系统。 I…

system · ◷ 1 · 2026-04-01

文章漏扫工具

漏扫工具 AppScan 最新版本 AppScan Standard 10.10.0

新增功能 HCL AppScan Standard 10.10.0 中的新增功能： 2025 年 11 月 - DAST LLM 扫描程序：在攻击者利用 LLM 的弱点之前，先将其暴露出来！使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM)…

system · ◷ 1 · 2026-02-11

文章代码审计

XXE 漏洞全解析：XML 原理 + Java 审计案例 + JavaMelody 实战复现

1\. 相关介绍 1.1. XML介绍 XML (Extensible Markup Language) 是一种可扩展的标记语言，用于标记电子文件中的各种元素。它是用来传输和存储数据的一种常用方式，并且可以被很多不同的应用程序所使用。 XML 的一个主要优点是它允许不同的应…

system · ◷ 1 · 2026-02-02

文章代码审计

Java 代码审计从 0 到 1：starsea-mall + 学生系统漏洞挖掘全记录

1.审计-starsea-mall电商系统下载地址 https://github.com/StarSea99/starsea-mall 然后根据要求配置环境，配置Maven 数据库配置完成好可以启动页面开始审计，经典的一个目录在interceptor是一个拦截器，下面是后…

system · ◷ 1 · 2026-02-02

文章代码审计

代码审计实战：若依 RuoYi4.6.0 8 类漏洞（反序列化 + SQL 注入 + SSTI）全解析

一.环境搭建 RuoYi 是一个 Java EE 企业级快速开发平台，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap），内置模块如：部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公…

system · ◷ 1 · 2026-02-02

文章漏扫工具

记录一次edu从考试系统弱口令到全站信息泄露

信息收集的重要性从 Jeecg-Boot API 泄露挖到 RCE 漏洞

泛微E-cology10存在敏感信息泄露漏洞

博硕BGM RESTFulServiceForWeb存在敏感信息泄露

天地伟业Easy7 queryPassword存在敏感信息泄露

弱口令进入后台，挖掘信息泄露、SQL 注入、任意用户接管等系列

itC 中心管理服务器actionUser存在信息泄露漏洞

天地伟业Easy7 loadAllUserBeans 存在敏感信息泄露

itC 中心管理服务器viewServer.do存在信息泄露漏洞

一次完整的迎新系统渗透敏感信息泄露 + 垂直越权利用

宏脉医美行业管理系统hmcConfig存在信息泄露漏洞

MT SRC 实战接口未授权和临时凭证泄露

一个低危目录遍历，泄露 10w + 摄像头实时画面

CNVD证书挖掘和资产收集

一篇文章看懂车联网中整车测试所存在的攻击面

漏扫工具 AppScan 最新版本 AppScan Standard 10.10.0

XXE 漏洞全解析：XML 原理 + Java 审计案例 + JavaMelody 实战复现

Java 代码审计从 0 到 1：starsea-mall + 学生系统漏洞挖掘全记录

代码审计实战：若依 RuoYi4.6.0 8 类漏洞（反序列化 + SQL 注入 + SSTI）全解析

最新AWVS/Acunetix Premium-v25.11.25高级版更新漏洞扫描器下载