127.0.0.1 - 第 3 | CN-SEC 中文网

安全工具

Tomcat条件竞争RCE利用脚本：CVE-2024-50379、CVE-2024-56337

0x00 文章背景本来Tomcat这个洞到昨天也就结束了，但是有师傅说出个脚本，好吧。满足，必须满足，而且出两个脚本。 0x01 探测脚本这个脚本用于初步探测目标是否支持PUT请求，开...

12月24日19 views评论

阅读全文

安全工具

【神兵利器】内网渗透之多级代理工具

项目介绍 Rakshasa是一个使用Go语言编写的强大多级代理工具，专为实现多级代理，内网穿透而设计。它可以在节点群里面任意两个节点之间转发TCP请求和响应，同时支持socks5代理，http代理，并...

12月23日33 views评论

阅读全文

安全工具

工具集：P1finger【重点资产指纹识别工具】

工具介绍 P1finger 红队行动下的重点资产指纹识别工具下载 https://github.com/P001water/P1finger 单个目标探测 P1finger -u [target] ...

12月17日14 views评论

阅读全文

fscan存在命令注入漏洞[doge][doge]

一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下# Vulnerable way to build commandcommand = ex...

12月16日安全文章8 views评论

阅读全文

安全文章

Hackerone report：通过 X-Forwarded-For 报头绕过 IP 限制

-016-描述：nginx_status/请求目录下获得了一个403的请求状态，可以进行绕过403查看请求状态200的内容重现步骤：首次尝试访问 https://branded-us4-cloud.a...

12月10日29 views评论

阅读全文

安全文章

nodejs请求走私与ssrf

最近看到hackthebox一道题，关于nodejs请求走私的，学到不少东西，这里记录一下。1. 先说题目题目直接给了源码，题目名字是weather app，大家有兴趣可以直接去hackthebox做...

11月27日9 views评论

阅读全文

安全文章

利用阿里云oss对象存储来C2上线

点击蓝字关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...

11月22日35 views评论

阅读全文

安全文章

SSRF总结

前言最近在一次代码审计过程中发现了一处SSRF漏洞，立即就精神了起来，脑海中出现了各种利用方式，实际去利用的时候发现存在很多的问题。所以就想趁着这个机会把SSRF漏洞做一个总结。SSRF漏洞是什么定义...

11月14日15 views评论

阅读全文

安全开发

JNDI利用分析魔改

前言实战中遇到log4j2漏洞，并且不出网，在内网另一台获得权限的主机上上传JNDIBypassExploit注入工具进行利用，在注入内存马的时候感觉不太方便，于是对该工具的代码进行学...

11月12日11 views评论

阅读全文

攻防利器-指纹识别

P1finger 红队行动下的重点资产指纹识别工具单个目标探测P1finger -u [target]多目标探测P1finger -uf [target file] //-uf 指定url文件输出到 ...

11月11日安全工具12 views评论

阅读全文

安全文章

ProxyLogon手工复现附POC/EXP，ExChange组合攻击。

看了觉得好点个关注咯，欢迎各位师傅加群交流。勿要非法渗透，造成影响与本人无关！勿要非法渗透，造成影响与本人无关！漏洞介绍：CVE-2021-26855漏洞又称为ProxyLogon，攻击者可以利用ss...

11月06日31 views评论

阅读全文

安全工具

Tomcat条件竞争RCE利用脚本：CVE-2024-50379、CVE-2024-56337

【神兵利器】内网渗透之多级代理工具

工具集：P1finger【重点资产指纹识别工具】

fscan存在命令注入漏洞[doge][doge]

Hackerone report：通过 X-Forwarded-For 报头绕过 IP 限制

nodejs请求走私与ssrf

利用阿里云oss对象存储来C2上线

SSRF总结

JNDI利用分析魔改

攻防利器-指纹识别

ProxyLogon手工复现附POC/EXP，ExChange组合攻击。

最新AWVS/Acunetix Premium V24.9高级版漏洞扫描器Windows/Linux下载

在线咨询

微信