来自许少(4ra1n)开发的一款Java自动代码审计工具,尤其针对SpringBoot框架,也可自行改造以适配其他情况提供一个SpringBoot的Jar包即可进行自动代码审计并生成报告,底层技术基于...
Oracle提权执行命令工具
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 工具介绍 帮一个兄弟渗透的过程中在内网搜集到了不少o...
实战|绕过waf执行命令到拿下卡巴斯基管理端
作者:djhons, 转载自FreeBuf.COM入口点打开页面是一个登录点,下面有个忘记密码的点,这个点是通过手机号找回密码,直接单引号就发现了一个sql注入。绕过waf os-shell直接上sq...
Nosql inject注入的一点研究
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后...
工具 | Shiro一把梭综合利用漏洞链
功能shiro一把梭工具,该轮子主要有三大功能如下:默认密钥爆破利用SimplePrincipalCollection进行检测利用dnslog进行检测,以解决无回显rememberMe。使用的是dns...
漏洞扫描工具Nessus的安装及使用(带详细步骤)
0x01 实验原理利用漏洞扫描器能够自动应用漏洞扫描原理,对目标主机安全漏洞进行检测,附带识别主机漏洞的特征库的功能,从而完成网络中大量主机的漏洞识别工作。(有相应的缺点)0x02 实验拓扑0x03 ...
干货 | 实战分享几种Bypass成功的webshell免杀方式(建议收藏)
0x01 php的免杀传统的php免杀不用多说了,无非就是各种变形和外部参数获取,对于一些先进的waf和防火墙来说,不论如何解析最终都会到达命令执行的地方,但是如果语法报错的话,就可能导致解析失败了,...
第34篇:go语言编写中转注入让古老的注入工具复活
Part1 前言 在日常的渗透测试、红队项目、攻防比赛中,sql注入仍是广泛存在的一种漏洞,只要花时间仔细找,注入漏洞总会有的。sqlmap是目前最常用的注入工具,但是sqlma...
从JDK源码中探究Runtime#exec的限制
前言 遇到很多次在调用Runtime.getRuntime().exec方法进行弹shell的时候遇到的各种限制,都没好好的认识认识原理,这次主要是总一个总结和原理上的分析。&n...
一款shiro综合利用工具
shiro综合利用工具:ShiroExp工具介绍shiro一把梭工具,该轮子主要有三大功能如下:1、默认密钥爆破利用SimplePrincipalCollection进行检测利用dnslog进行检测,...
Shiro一把梭综合利用工具
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 功能 shiro一把梭工具,该轮子主要有三大功能如下...
CVE-2022-25237 Bonitasoft Platform RCE漏洞复现
01漏洞简介Bonitasoft是一个用于业务流程自动化的平台,Bonitasoft的某些版本存在远程代码执行漏洞。攻击者可在目标服务器远程执行任意代码。02影响版本For community(社区版...
13