导读 主要分享学习日常中的web渗透,内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己,为网络安全发展贡献自己的微薄之力! 0x00免责声明本次测试仅供学习使用...
通过代理隐藏攻击IP(Clash)
前言 使用工具 windows for clash proxifier xshell 打开windows for clash,设置允许局域网连接,查看本机IP ,这里我的代理IP端口是192.168....
详解XSS漏洞及反射型XSS漏洞
1. XSS漏洞简介跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码,将其注入到Web页面中,并在访问该页面的用户浏览器中执行...
小程序保护: 一步步实现getshell
忽然发现,写公众号那么久,我竟然没写过小程序相关的文章,借此机会,也分享一下个人对小程序的渗透之路吧。 网站有没有漏洞,三分靠运气,三分靠技术,剩下四分靠细心。 0.渗透思路 主要为两点 第一个是页面...
红队技术笔记
项目地址:https://github.com/xf555er/RedTeamNotes网盘下载地址:链接:https://pan.quark.cn/s/6b5f4cd51134原文始发于微信公众号(...
渗透经验分享之文件操作漏洞拓展
上文分享了注入相关的东西,注入也可以对文件进行操作,本文是对文件操作漏洞的拓展文件操作漏洞文件上传文件读取文件写入文件删除文件包含一般java的站点存在文件系列的洞比较多(除了文件包含)。文件上传在哪...
C2基础设施威胁情报对抗策略
免费&进群威胁情报是指在信息安全和安全防御领域,收集、分析和解释与潜在威胁相关的信息,以便预先发现并评估可能对组织资产造成损害的潜在威胁,是一种多维度、综合性的方法,其通过信息的收集、分析和研...
韩国科学技术院 | 探索基于LLM的Bug复现
再续一篇基于LLM的程序bug分析论文,来自IEEE/ACM ICSE' 23,题目为"Large Language Models are Few-shot Testers: Exploring LL...
【Cobalt-Strike-Start】深入了解 Beacon 种类及其原理
文章首发于奇安信攻防社区:https://forum.butian.net/share/2430聊聊什么是 BeaconBeacon 是 Cobalt Strike 运行在目标主机上的 Payload...
小程序解密反编译获取源码实现RCE
01文章前言 小程序除了抓包测试功能外,我们可以尝试解密并反编译,最后获取其源代码包,从中查看其源代码文件,运气好的话我们可以获取到其配置信息,以此深度控制小程序。 当然,也可能是另外一种...
针对入侵分析的一个虚拟机环境v0.1
简介 做这个虚拟机的初衷是为入侵分析人员更方便地处理从入侵事件中获取的数据。感谢后台留言的大佬。其实这个环境涉及的场景应该非常有限,所以这个环境应该不会传播很广吧?工具均来自互联网,我们不能保证虚拟机...
命令注入绕过一个小技巧
有时,您可能会在目标网站上获得操作系统命令注入,但由于“echo”、“/etc/”、“cat”、“passwd”等受限关键字,有效负载可能会被 Web 应用程序防火墙 (WAF) 阻止。这是一种成功传...
5576