dnslog - 第 5 | CN-SEC 中文网

安全工具

工具上新 Plumb，轻便的 DNSLog

Plumb 1.0.0https://github.com/0x584A/Plumb一个轮子，用于渗透测试优而化的 DNS/HTTP 日志工具，简洁、轻便、更易于使用。Chang Log2024-09...

09月27日15 views评论

阅读全文

代码审计

迷你天猫商城审计

准备阶段迷你天猫商城是一个基于Spring Boot的综合性B2C电商平台贤趣开发小组/SpringBoot迷你天猫商城（Mini-Tmall）环境要求：1、Windows 10系统。2、Java版本...

09月26日35 views评论

阅读全文

安全文章

OAST SQL盲注 (Dnslog) 真正的用法和意义，发掘无法使用时间盲注的注入点

认识不足 i. 在之前，我只知道OAST SQL注入这种技术，但是并不知道其的意义，甚至认为他有点鸡肋（例如在mysql中：1. 需要使用 load_file() 函数，所以一般得是 r...

09月09日27 views评论

阅读全文

安全文章

实战中的高版本JDK的JNDI注入

关于JNDI注入一直都是在CTF中见到的，偶然在实战中碰到了一个fastjson，是一个公众号绑定校卡的点通过burpsuite的插件扫到了存在fastjson的漏洞通过下面payload去验证是否为...

09月01日21 views评论

阅读全文

安全文章

Windows通用下载绕过姿势总结

一、前言很多时候我们可以执行命令了，但是没有回显、也不交互、添加加用户远程桌面没开、想远程下载木马有杀软拦截、循环写入遇到负载均衡。对于远程下载能想到的方法也就是下面这些，但都是可以免杀一段时间就...

08月22日88 views评论

阅读全文

安全工具

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

0x01 工具介绍智云是一个轻量级的蜜罐工具，专注于捕获和分析Web流量。它能抓取所有HTTP请求和响应报文，帮助用户监测和分析网络流量。主要功能包括首页自定义指纹混淆扫描、流量识别正则表达式、自定...

08月14日28 views评论

阅读全文

Fastjson姿势技巧集合

点击蓝字，关注我们Fastjson姿势技巧集合一、判断是否用了fastjson鉴别fastjsonDNSLOG{"@type":"java.net.InetSocketAddress"{"addres...

08月12日安全文章42 views评论

阅读全文

未分类

HVV-蓝队娱乐骚操作

目前攻防演练已经进行了一周，各位红蓝大哥辛苦了。今天闲暇之余不讲别的，就分享个娱乐的骚操作，也算是让各位...

08月01日41 views评论

阅读全文

安全工具

工具 | ShiroScan

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。 0x00 简介ShiroScan是一款用于shiro框架、无dnslog key...

07月30日49 views评论

阅读全文

安全文章

SRC实战之云服务器全回显SSRF（新思路）

No.0 前言最近挖Src发现一个新思路，通过这个思路刷了一大批Src，老板让分享干货。拿出来share一下。 No.2 思路分享我简单阐述一下我的挖掘流程 1、首先找到类似生成海报这种功能，其他...

07月30日30 views评论

阅读全文

安全文章

DNSlog注入全解析：实战步骤、原理揭秘与局限性探讨

DNSlog原理「DNS（Domain Name System）」：负责将域名转换为IP地址，以便浏览器能访问对应服务器上的服务。「DNSlog」：即DNS的日志，记录了域名解析时的域名和解析IP的信...

07月20日138 views评论

阅读全文

安全工具

fastjson漏洞批量检测工具

0x01 工具介绍 1. 根据现有payload，检测目标是否存在fastjson或jackson漏洞（工具仅用于检测漏洞、定位payload）2. 若存在漏洞，可根据对应payload进行后渗透利用...

07月16日47 views评论

阅读全文

工具上新 Plumb，轻便的 DNSLog

迷你天猫商城审计

OAST SQL盲注 (Dnslog) 真正的用法和意义，发掘无法使用时间盲注的注入点

实战中的高版本JDK的JNDI注入

Windows通用下载绕过姿势总结

智云-一个抓取web流量的轻量级蜜罐|漏洞抓取

Fastjson姿势技巧集合

HVV-蓝队娱乐骚操作

工具 | ShiroScan

SRC实战之云服务器全回显SSRF（新思路）

DNSlog注入全解析：实战步骤、原理揭秘与局限性探讨

fastjson漏洞批量检测工具

在线咨询

微信