本列表,收集一些在服务器上运行的一些工具,组建自动化,服务器长期挂跑项目 欢迎提issues,来丰富工作流程,比如自己挖洞时候的一些简易流程,工具+调用命令, 在我的日常渗透中,我发现我重复调用几个工...
浅谈绕过CDN寻找真实IP地址
0x01 前言在渗透测试的信息搜集阶段,在搜集到目标主站之后常常需要获取的对方网站的真实IP去进一步的信息搜集,但是在目前主流的网站大多都部署了CDN,将资源部署分发到边缘服务器,实现均衡负载,降低网...
fastjson1.2.47反序列化漏洞复现
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
【2022HW】在即,某集团渗透实战
渗透开始:1.访问官网获取信息开始渗透https://www.xxx.com.cn/可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和...
注册功能测试小结
实现注册功能 我们将以某学校网站(school.org)为例来学习注册功能的实现: 在这个例子中,学生需要注册到school.org来访问他们的学术教育资源。org的用户必须有能力注册为会员,从而获得...
从web到内网的一些思路及工具
最近一直没发文章,因为真的不知道发一些什么。本人很菜,也一直在学习。总结一些随想吧。一些简单的渗透思路: 其实渗透测试的本质就是信息收集。那么当我们得到一个目标以后,第一时间所去想的应该是如...
每周蓝军技术推送(2022.6.11-6.17)
Web安全使用dangling iframe绕过CSPhttps://portswigger.net/research/bypassing-csp-with-dangling-iframes内网渗透A...
溯源取证|微信数据库解密教程
0x01 获取KEY 网上一大堆逆向微信解密数据库的,细节不再多说,想详细了解的看下面的参考连接,本文重点讲解一下利用工具解密微信数据库 ...
CVE-2022-30190漏洞的学习三
前两篇,我们学习了CVE-2022-30190漏洞的msdt用法。今天,介绍个search-ms的用法。关于这个用法,网上有了介绍,那我为什么还要写这个呢,是重复吗?当然不...
Goby Poc分享
abng1Goby简介Goby是基于网络空间映射技术的下一代网络安全工具。它通过为目标网络建立全面的资产知识库来生成对网络安全事件和漏洞的紧急响应。Goby提供最全面的资产识别.Goby预置了100,...
2022HW蓝队防护手册
蓝队手册,精选了多篇hvv的链接零.认知红队护网红队作战手册https://cloud.tencent.com/developer/article/1647861从攻击者角度解读防护思路https:/...
分享一款加强版GUI界面shiro反序列化漏洞利用Tools(附下载)
项目地址https://github.com/j1anFen/shiro_attack免责声明该项目仅供合法的渗透测试以及爱好者参考学习,请各位遵守《中华人民共和国网络安全法》以及相应地方的法律,禁止...
188