payload - 第 3 | CN-SEC 中文网

CTF专场

TPCTF2025 Writeup

本次 TPCTF2025，我们XMCVE-Polaris战队排名第14。排名队伍总分11N1STAR6265.612天枢Dubhe6152.0213Scr1w583814XMCVE-Polaris54...

03月15日12 views评论

阅读全文

安全文章

自动化渗透测试新思路：基于AI的攻击路径规划与漏洞利用

摘要在网络安全领域，自动化漏洞扫描工具一直是安全专家和开发者的得力助手。然而，传统的扫描工具往往局限于固定的规则和模式，难以应对日益复杂的Web应用攻击面。今天，我们要介绍一个由GitHub用户fai...

03月14日53 views已关闭评论

阅读全文

安全文章

记一次漏洞挖掘过程中的SQL注入浅浅绕过记录

文章首发在：先知社区https://xz.aliyun.com/news/170770x00 文章背景日常测试时发现客户网站存在注入，我看着这界面的样子就像是个CMS来的，搜集一会之后确认了，果然是。...

03月12日15 views评论

阅读全文

安全工具

AI绕WAF - Chypass_pro2.0

Chypass_pro2.0版本，针对1.0出现的很多bug及其问题，对Chypass_pro进行了升级。更新内容 🔉一直卡开始AI会话解决问题(解决) 🔉几轮后会话token过大，导致AI无响应问...

03月12日24 views评论

阅读全文

安全文章

探索挖掘xss中括号被转义的绕过措施(续)

0x00 前言临时更一篇，这篇文章本不在更新计划中，直到上周有师傅留言：其实我那篇文章中有简单提到过：但是我没细讲，给出的payload也只是弹窗和打印，没有什么太大危害：所以如果大家想要危害比较大的...

03月11日11 views评论

阅读全文

安全工具

工具集：工具集：MySQL Fake Server【高级版MySQL_Fake_Server】

工具介绍高级版 MySQL_Fake_Server ：当JDBC URL可控时，特殊的MySQL服务端可以读取JDBC客户端任意文件或执行反序列化操作，工具完全使用Java实现部分MySQL协议，内置...

03月11日24 views评论

阅读全文

安全文章

通过JWT的IDOR实现账户接管

关注公众号，阅读优质好文。正文在审查目标平台“redirect.com”的Web应用时，我发现它使用了JSON Web Token（JWT）进行身份验证，因此决定尝试进行账户接管（ATO）攻击。首先，...

03月10日7 views评论

阅读全文

安全工具

Burp Suite插件Upload_Auto_Fuzz - 专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。

工具介绍本Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。效果如图主要功能 🛡️ WAF绕过技术后缀变异：ASP/ASPX/P...

03月07日35 views评论

阅读全文

程序逆向

使用 x64dbg Automate 进行大规模分析

本文将重点展示我在x64dbg Automate开发过程中的设计思路与功能亮点。这个自动化解决方案基于x64dbg的命令执行引擎和插件API，旨在提供富有表现力、现代化且易于使用的Python客户端库...

03月06日21 views评论

阅读全文

安全工具

Burp Suite 文件上传漏洞Fuzz插件

本Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。效果如下图安装安装python环境https://www.jython.org/download...

03月06日29 views评论

阅读全文

Flask框架-session伪造

Flask框架-session伪造原理Flask中session可以直接保存在客户端，就会引起相应得安全问题姿势破解session得到secret_key伪造sessionSetp1 破解sessio...

03月05日安全百科13 views评论

阅读全文

安全工具

Upload_Auto_Fuzz - Burp Suite 文件上传漏洞Fuzz插件

0x01 工具介绍本Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全Hack...

03月05日47 views评论

阅读全文

TPCTF2025 Writeup

自动化渗透测试新思路：基于AI的攻击路径规划与漏洞利用

记一次漏洞挖掘过程中的SQL注入浅浅绕过记录

AI绕WAF - Chypass_pro2.0

探索挖掘xss中括号被转义的绕过措施(续)

工具集：工具集：MySQL Fake Server【高级版MySQL_Fake_Server】

通过JWT的IDOR实现账户接管

Burp Suite插件Upload_Auto_Fuzz - 专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。

使用 x64dbg Automate 进行大规模分析

Burp Suite 文件上传漏洞Fuzz插件

Flask框架-session伪造

Upload_Auto_Fuzz - Burp Suite 文件上传漏洞Fuzz插件

在线咨询

微信