扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈...
HTB - nocturnal
关注公众号夜风Sec,持续分享各种工具&学习记录,与师傅共同进步:)信息收集nmapnmap --min-rate 10000 -A 10.10.11.64PORT STATE SERVI...
渗透测试 | 某系统三连shell
漏洞1:模板注入在日志查询处触发该数据包数据包中的sql语句存在>和$,疑似使用了表达式或者模板为了判断是否真的使用了表达式或者模板,使用${1+1},回显了2,那么就可以确定了。接着我使用了o...
2025年LLM应用十大安全风险!OWASP最新指南
近年来,大型语言模型(LLM)如ChatGPT、文心一言等已渗透到各行各业,但随之而来的安全问题却暗藏“杀机”。OWASP(开放全球应用安全项目)近期发布了《2025年大语言模型应用程序十大安全风险》...
election
下载地址:https://download.vulnhub.com/election/election.7z攻击者IP:192.168.56.132 桥接(自动) vmare受害者IP:192.168...
当心你的 AI!使用 Replit AI 掩盖你的 C2 流量
【翻译】Watch Your AI! Using Replit AI to Mask Your C2 Traffic 当你进行任何类型的攻击性行动时,管理你的 C2 流量并使用现代技术隐藏它始终是一件...
HTB-CozyHosting 红队靶机三阶渗透思维突破:Cookie伪造+命令注入组合拳
HackTheBox 的 CozyHosting 是一款Linux红队实战靶机,涵盖 Cookie伪造、命令注入、敏感数据查找、密码爆破、sudo提权等红队技术,适合初级选手挑战权限升级完整链条靶机地...
【vulhub】 GoldenEye
## goldenEye端口扫描nmap -sS -p- 192.168.56.104 -sV --version-all -sC可以看到靶机开放了80端口,点击访问出现/sev-home/ to l...
MCP带来的新型安全威胁
MCP带来的新型安全威胁在前面《MCP-基于AI的全自动渗透测试》中我们简单学习了如何搭建一个MCP服务,在这个过程中我很少看到各种教程中进行安全配置的相关操作,在hxd鹏少的提醒下突然意识到MCP为...
一次有趣的前端加密对抗分享
前言一次有趣的密码加密爆破分享,仅供学习参考,如需转载请声明原文链接寻找登录加密点首先按住ctrl+shift+i打开开发者调试界面然后找到网络页面,随便输入账号密码提交一次查看启动器,直接点击蓝色的...
记一次对湾湾站点的getshell到网
闲来无事 随手打开全球被黑站点 看看有没有高手留下的足迹打开之后403随便打开一篇文章无果 可能是内嵌.利用云溪收集了下信息。一阵踌躇莫展的时候 想起403页面发现后台反手单引号测出注入Sqlmap梭...
一个被遗忘的 API 端点让我赚了 $500
“不是总想着找突破口,有时,是在找他们忘记上锁的东西。” 什么是隐藏的 API ? 🚫 未记录(不在 Swagger 或公开文档中) 👻 过时的(由旧应用或开发面板使用) 🤫 被遗忘(意...
7148