配置文件 | CN-SEC 中文网

GitHub信息泄露监控

文章前言GitHub作为开源代码平台，给程序员提供了交流学习的地方，提供了很多便利，但如果使用不当，比如将包含了账号密码、密钥等配置文件的代码上传了，导致攻击者能发现并进一步利用这些泄露的信息进行攻击...

05月29日11 views评论

记一次渗透测试遇到远程控制软件的深入利用

0x01-弱口令YYDS 在做资产梳理的时候发现了一个弱口令 http://xxxxxxx:2903/manager/status 是Tomcat中间件的后台管理弱口令 Tomcat的后台管理处是可以...

05月20日17 views评论

实战|记一次渗透测试遇到远程控制软件的深入利用

0x01-弱口令YYDS在做资产梳理的时候发现了一个弱口令http://xxxxxxx:2903/manager/status是Tomcat中间件的后台管理弱口令Tomcat的后台管理处是可以上传we...

05月20日20 views评论

Clash CSRF未授权配置重载致使RCE

扫码领资料获网安教程免费&进群0x00 关于Clash名词解释Clash一个使用Golang编写的，支持Shadowsocks(R)、VMess、Trojan、Snell、SOCKS5、HTT...

05月19日14 views评论

通过TOR绕过IP锁定

前言平时做项目或者挖SRC的过程中，在遇到扫目录或者凑低危用户名枚举等会有大量请求的情况时，总有各种WAF出来拦截，而且通过各种方式还绕不掉，只能通过换IP的形式来进行绕过。本文就主要说明如何通过T...

05月13日24 views评论

命令控制之Octopus

文章前言Octopus是基于python开发的一款可操作的C2服务器，可以通过HTTP/S控制Octopus powershell代理，其主要目的是要在任何红队行动之前使用，而不是开始与您的整个作战武...

05月01日41 views评论

[攻防实战]爽文一把梭getshell

前言梭哈梭哈就是梭哈。‍‍‍‍‍‍‍‍‍‍‍爽文警告不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。信息收集‍目标为jmc.com收集到了一个子域名 erp.jmc.com子域名1发现子域...

04月26日19 views评论

Supershell 一款牛叉闪闪的工具

在常规渗透测试和比赛中，反弹shell时是否在为Ctrl + C意外关闭Shell而发愁？是否在为执行一些交互式脚本而苦恼？常规的反弹Shell往往只是命令的执行和结果的响应，这样的Shell通常缺少...

04月17日71 views评论

安全新闻

虚假聊天软件中内藏远控程序，二次打包嵌木马详析

概况近日，360数字安全大脑监测发现多起利用钓鱼网站对特定用户进行攻击的安全事件。攻击者通过精心制作的钓鱼网站，诱骗目标用户下载安装被二次打包的软件安装程序。而这些安装程序则在二次打包的过...

04月17日31 views评论

红队武器库丨Frp二开-免杀与隐藏

本项目是frp的二开项目。frp是fatedier开发的一款优秀的反向代理工具，可以将本地服务器暴露在互联网上。但原程序对攻击队而言并不优雅，希望本项目可以为攻击队贡献一个完美的FRP二开项目！功能...

04月03日56 views评论

安全闲碎

Nginx从入门到放弃

Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。其特点是占有内存少，并发能力强，部署简单。本文简单的介绍下他的使用吧!安装与启动apt-get&nbs...

04月02日17 views评论