前言某次地级市hvv中，在对主资产毫无突破的时候，就考虑从旁站入手了，利用奇安信的鹰图平台，找到两个旁站资产，一个是某新闻素材商场，一个是数据管理的后台。多逻辑漏洞看到商城，当然要先...

本次参加的地级市HVV是一波三折，防守方还搞起三十六计了，密码提示和真正密码相差甚远，就连Fastadmin都耍起了“七擒孟获”和障眼法两种计谋。 Fastadmin的障眼法 起初信息收集收集到Fastadmin...

原文首发于奇安信攻防社区：https://forum.butian.net/share/18770x00 前言上周参加了某地级市HVV，忙的没时间发文章。本文对HVV过程中出现的未授权或者通过特殊手段绕过的一些未授权案例进行分...

原文首发于奇安信攻防社区：https://forum.butian.net/share/2320 0x00 前言 最近陪别人挖小程序，没有解包操作，就对单纯的数据包进行测试，发现SQL注入还是很多的，小程序开发对接口权限频和S...

原文首发于奇安信攻防社区：https://forum.butian.net/share/2400 0x00 前言 刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习...