1.背景:昨天发了一个洞,某博主发了一个有点引战的帖子,导致博主被diss。 2.回应一下,这个洞很简单,小学生都会,博主也是2024年审计出来的,而且有证书的(希望博主看到,能稍微改下这个文章,不要...
红队Active Directory侦察利用工具
之前hvv行动搞域渗透的时候,碰到个头疼的事——LDAP协议但凡动一下,SOC那边就会弹十几次告警。尤其查个用户组关系或者改个ACL权限,蓝队兄弟分分钟就能溯源到跳板机。直到在某个凌晨三点半的加班复盘...
SharpADWS:红队的 Active Directory 侦察和利用工具
简介SharpADWS是一款专为红队设计的Active Directory(AD)侦察和利用工具,通过Active Directory Web 服务 (ADWS)协议实现数据收集与修改。与传统通过 L...
XSS漏洞利用工具之BeEF
BeEF是一款针对浏览器的渗透测试工具, 用于浏览器漏洞利用的框架。BeEF 专注于浏览器客户端,即使系统的网络或操作系统是安全的,Web 浏览器中的漏洞仍可以为攻击者提供进入网络或系统...
Apache Druid 远程代码执行 漏洞检测和利用工具 CVE-2021-25646-exp
0x01 工具介绍 Apache druid CVE-2021-25646 远程代码执行漏洞检测、利用工具 输入域名或者ip:端口,可以进行漏洞检测,对检测到漏洞的目标可以进行命令执行利用 支持单个目...
让Druid未授权访问漏洞危害最大化案例和利用工具
0x01 前言 Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions...
蓝队第2篇 | Weblogic反序列化攻击不依赖日志溯源攻击时间
Part1 前言 WebLogic是美国Oracle公司出品一款中间件产品,在国内使用也比较广泛。从2015年开始至今,接连爆出过10几个可直接利用的Java反序列化漏洞,相关漏洞的原理也越来越复杂...
实战shiro有key无链rce
前言 最近项目测试中,发现一个shiro框架的系统,经过工具扫描发现有可用的key,但是没有能直接使用的链,于是来复习一下有key无链来rce的打法。当利用工具发现有如下的情况,就可以尝...
帆软bi反序列化漏洞利用工具(V3.0)
0x01 工具介绍 帆软bi反序列漏洞利用工具 1、新增反序列化利用链2、新增数据库连接解密功能3、修复ssl证书问题 0x02 安装与使用 支持jackson、hibernate、cb反序列化链来进...
宝塔系统未鉴权导致phpmyadmin任意登入利用工具
本文章,工具来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢声明:本工具仅提供于站长自身测试网站是否存在漏洞,请不要非法使用!!!众所周知,昨天宝塔服务器面板...
针对Windows LDAP 零点击 RCE 漏洞的 PoC 利用工具发布
导 读研究人员公布了针对 Windows 轻量级目录访问协议 (LDAP) 中一个严重漏洞的概念验证 (PoC) 代码,该漏洞编号为CVE-2024-49112。微软于 2024 年 12 月 10 ...
面向JS漏洞挖掘
最近在研究怎么从JS中挖掘更多有用信息,以前在漏洞挖掘的时候没有对js进行细致的挖掘利用,在研究小程序调试解密的时候发现js文件中可获取信息的点、可挖掘漏洞的点还是很多的,花了一段时间积攒了一些漏洞场...
23