概述 “海莲花”,又名APT32和OceanLotus,是疑似越南背景的黑客组织。该组织至少自2012年开始活跃,长期针对中国能源行业、海事机构、边防机构、卫生部门、海域建设部门、科研院所和航运企...
01月22日31 views评论aes
payload
海莲花双头龙分析报告
01月22日31 views评论aes
payload
01月22日31 views评论aes
payload
BlueBunny:基于低功耗蓝牙的Bash bunny命令控制C2框架
关于BlueBunny BlueBunny是一款功能强大的命令控制框架,该工具基于低功耗蓝牙实现数据通信,可以帮助广大研究人员直接通过蓝牙将控制指令发送给Bash Bunny。 什么是Bash ...
01月22日12 views评论gatt
payload
大规模猎杀盲打 XSS——实用技术
在本文中,我将揭示大规模检测盲目跨站脚本的技术。我们将深入研究用于绕过 WAF 的 Blind XSS 有效负载、GitHub 的开源工具和方法。其中大部分部分可以自动化,但请记住,手动测试通常可以给...
01月21日22 views评论payload
xss
批量刷洞方法,你值得拥有
扫码领资料获网安教程1:通过某空间测绘导出需要的资产,复制带有http协议的资产创建一个txt文本,复制进去直接查找进行替换,https也是一样的找到一个有漏洞的url,抓包发送到Intruder模块...
01月20日18 views评论payload
漏洞挖掘
技术研究|Jeecg-Boot SSTI 漏洞利用研究
1前言众所周知,漏洞和漏洞利用是两码事。漏洞利用的核心目的是想拿到稳定可用的服务器权限,方法无非就是反弹shell、写入webshell、打入内存马。通常情况下,如果可以执行任意代码,那么打入内存马会...
01月19日190 views评论payload
漏洞利用
Mythic C2 学习
安装从github上拉下来。git clone https://github.com/its-a-feature/Mythic更新kali:apt install updateapt install ...
01月19日58 views评论mythic
payload
反序列化payload缩小长度
1.修改gadeget2.通过修改字节码删掉一些无用代码如使用asm删掉LineNumberTable 删掉行号byte[] bytes = Files.readAllBytes(Paths.get(...
01月19日14 views评论payload
反序列化
xxe漏洞(xml外部实体注入漏洞)
想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。 1.漏洞产生原理 XXE漏洞就是”攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题” 也就是说服务端接收...
01月18日34 views评论payload
靶场
【日刷亿洞】批量爆破Druid后台账号密码
背景 不会用工具的小子不配称为脚本小子,下面是【一个不正经的黑客】推出的日刷亿洞系列的教程,但毕竟不是什么正经公众号,喜欢吹牛但也喜欢将牛落地,主打的就是你对我爱答不理,我对你一往情深,日后,更爱!!...
01月15日71 views评论payload
servlet
一个有趣的xss绕过过程
最近在对客户的一个网站进行渗透时,发现了一个有趣的xss。如下图所示:当使用<script>标签时发现被移除,如下图所示:尝试使用<scriPt>标签字母大小写绕过,发现还是被...
01月13日25 views评论payload
svg
REC漏洞(远程命令/代码执行)
想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。1.漏洞产生原理远程系统命令执行是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,并且为了方便,让应用去调用代码或者系统命令执行函数去...
01月12日21 views评论payload
代码执行
关于格式化字符串
一、偏移怎么算最简单的是输入aaaa加若干个-%x,直到出现-61616161为止,算上这个和前面的总共有多少项偏移就是多少。比方说这个,偏移就是6。下面写法相同。有时候可能读入限制比较短,可能没法这...
01月11日8 views评论payload
recvuntil
95