payload - 第 39 | CN-SEC 中文网

Powershell - 后门生成器

用 Powershell 编写并用 Python 混淆的反向后门。允许后门在每次运行后都有一个新的签名。...

02月17日39 views评论

代码审计

Laravel_5.4.0_8.6.9_反序列化链_RCE1

0x00 漏洞环境https://github.com/N0puple/php-unserialize-lib进入对应的文件夹执行如下命令启动环境：docker-compose up -d访问 htt...

02月16日50 views评论

CHAOS 一款Web端的Payload生成器

CHAOS 是一款用golang编写的Windows远控程序，它可以生成payload和远程控制Windows系统。另外，CHAOS得益于go语言，因而自带免杀。当生成客户端被病毒库标记后，也可以使用...

02月16日97 views评论

cloudflare XSS bypass

Payload :"onx+%00+onpointerenter%3dalert(1)+x"原文始发于微信公众号（Khan安全攻防实验室）：cloudflare XSS bypass

02月16日55 views评论

【技术分享】KimSuky各类攻击手法浅析

0×1概述KimSuky是总部位于朝鲜的APT组织，根据卡巴的情报来看，至少2013年就开始活跃至今。该组织专注于针对韩国智囊团以及朝鲜核相关的目标。KimSuky的ATT&...

02月16日54 views评论

Web缓存中毒-攻击示例（五）

在接下来的章节中，将展示如何通过利用缓存系统具体实施实现机制问题来获得更大的Web缓存中毒攻击面。将亚你就为什么缓存键生成方式的缺陷有时会使网站容易受到缓存中毒的影响，而这些漏洞通常被认为是不可利用的...

02月16日16 views评论

另一处XSS！荣登微软MSRC 2022 Q3排行榜

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。背景介绍：首先来看张图：图片来自一位泰国的...

02月16日29 views评论

浅谈JWT越权原理与利用

1.什么是JWTJWT=JSON+WEB+TOKEN，它并不是一个具体的技术实现，而更像是一种标准。JWT规定了数据传输的结构，一串完整的JWT由三段落组成，每个段落用英文句号连接（.）连接；他们分别...

02月14日321 views评论

一款好用的Fastjson漏洞批量检测Tools | 附下载

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删...

02月13日46 views评论

Thinkphp漏洞批量检测工具

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

02月12日137 views评论

安全闲碎

前沿实战 | ChatGPT在黑客活动中的终极利用 2

漏洞赏金和渗透测试是网络安全领域的重要组成部分，ChatGPT的出现大大增强了赏金猎人和渗透测试人员的工作效率。ChatGPT 是由 OpenAI 推出的强大语言模型。它具有理解和生成自然语言文本的能...

02月10日74 views评论