0x01 工具介绍 智云是一个轻量级的蜜罐工具,专注于捕获和分析Web流量。它能抓取所有HTTP请求和响应报文,帮助用户监测和分析网络流量。主要功能包括首页自定义指纹混淆扫描、流量识别正则表达式、自定...
Fastjson姿势技巧集合
点击蓝字,关注我们Fastjson姿势技巧集合一、判断是否用了fastjson鉴别fastjsonDNSLOG{"@type":"java.net.InetSocketAddress"{"addres...
HVV-蓝队娱乐骚操作
目前攻防演练已经进行了一周,各位红蓝大哥辛苦了。 今天闲暇之余不讲别的,就分享个娱乐的骚操作,也算是让各位...
工具 | ShiroScan
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介ShiroScan是一款用于shiro框架、无dnslog key...
SRC实战之云服务器全回显SSRF(新思路)
No.0 前言 最近挖Src发现一个新思路,通过这个思路刷了一大批Src,老板让分享干货。拿出来share一下。 No.2 思路分享 我简单阐述一下我的挖掘流程 1、首先找到类似生成海报这种功能,其他...
DNSlog注入全解析:实战步骤、原理揭秘与局限性探讨
DNSlog原理「DNS(Domain Name System)」:负责将域名转换为IP地址,以便浏览器能访问对应服务器上的服务。「DNSlog」:即DNS的日志,记录了域名解析时的域名和解析IP的信...
fastjson漏洞批量检测工具
0x01 工具介绍 1. 根据现有payload,检测目标是否存在fastjson或jackson漏洞(工具仅用于检测漏洞、定位payload)2. 若存在漏洞,可根据对应payload进行后渗透利用...
命令执行无回显利用总结 附工具
前言 命令执行漏洞是指在一个应用程序或系统中存在缺陷,使得攻击者能够通过输入恶意命令来执行任意代码,从而获取未经授权的访问权限。这类漏洞通常发生在用户输入没有被正确验证或过滤的情况下,攻击者可以通过操...
某微OA E-Cology getFileViewUrl接口SSRF漏洞
02 漏洞描述 某微OA E-Cology getFileViewUrl接口SSRF漏洞。 03 测绘查询-系统指纹 fofa:app="泛微-OA(e-cology)" 04 漏...
Struts2全版本漏洞检测工具19.32版本更新
Part1 前言 大家好,我是ABC_123。在8年前(2016年5月)使用netbeans依靠java语言编写了Struts2漏洞检测工具,期间一直不断更新,更新时间已达8年之久。现在ABC_1...
攻防实战-mssql突破不出网到自动化内网漫游
前言某次遇到mssql不出网,然后研究研究.不是星标不推送文章了。师傅也不想吧~快把极梦C设置成星标吧。sql注入测试过程中,发现目标存在一个sql注入,无回显....
Jenkins综合漏洞的利用工具
工具介绍 Jenkins的综合漏洞利用工具 环境说明 在windows或linux使用jdk8的哪一个版本应该都可以,在macOS里如果出现了找不到主类的错误,可能是因为当前java版本没有jfxrt...
21