骨哥

2023年12月10日

GPTs Prompts泄露合集

GPTs 是一个大型语言模型,包含了一个预置的Prompt,可以帮助其更好地按照要求执行任务。这些提示由 OpenAI 的工程师精心设计,包含了大量有价值的信息,例如如何召唤专家、如何进行搜索增强等。...

进一步了解
2023年11月30日

具有邀请功能的账户劫持思路

思维导图: 先决条件: 1️⃣ 确保目标应用程序支持在应用程序内邀请团队成员。 2️⃣ 验证目标应用程序允许帐户注册而无需电子邮件验证,或者找到电子邮件验证绕过漏洞。 测试方法: 1️⃣ 登录你的帐户...

进一步了解
2023年11月20日

从LFI到RCE

发现 在某个网络应用程序上进行长达数小时的信息收集及‘侦查’后,Cookie引起了白帽小哥的注意。 PHPSESSID -PHPSESSID Cookie是PHP原生,使网站能够存储序列化的状态数据。...

进一步了解
2023年11月17日

M3 ‘调教’手记

背景说明 终于鼓起勇气,将intel的MBP更换为M3,由于之前的intel MBP用了近4年,上面不仅部署了各种渗透环境,关键还有二进制的PWN环境,决定更换之前就听闻很多朋友吐槽M芯片的坑点,尤其...

进一步了解
2023年11月7日

一次通过Fuzz API发现漏洞的旅程

背景介绍 由于漏洞披露原因,暂将目标网站称为“target.com”。在对目标网站进行漏洞挖掘时,首先的一些必要动作包括: 重置电子邮件获取密码尝试登录,发现是否存在一些逻辑漏洞 在Burp中选择Ta...

进一步了解
2023年11月3日

一起全帐户接管漏洞案例

背景介绍 今天分享一个如何完全接管某应用程序管理账户的故事,由于漏洞披露要求,目标网站在下文中均以target.com替代。 漏洞发现 对于上面这个登录框,白帽小哥首先使用Dirsearch/Gobu...

进一步了解