payload - 第 4 | CN-SEC 中文网

黑盒渗透测试中的常见的20种Payload生成技法

在攻防博弈的暗涌之下，Payload如同黑客手中的手术刀，其精密程度直接决定渗透测试的成败。面对现代WAF层层构筑的语义分析、正则过滤、行为建模等防御体系，传统攻击载荷的存活率已不足15%（据SANS...

04月11日安全文章31 views评论

阅读全文

安全工具

Burp Suite XSS漏洞检测插件

工具介绍 XSS-Detector是一款面向Burp Suite的扩展插件，专注于检测Web应用中的跨站脚本(XSS)漏洞。本插件采用多线程并发设计，通过精确的请求-响应-漏洞映射关系，...

04月10日15 views评论

阅读全文

安全文章

Apache Shiro 框架漏洞利用全流程

🥷 红队实战案例：Apache Shiro 框架漏洞利用全流程🧩 一、识别目标使用了 Shiro 框架🔍 目标访问行为识别访问目标站点（如 http://target.com/login），响应头中出...

04月10日1 views评论

阅读全文

程序逆向

免杀入门-基础篇小白都可以看懂

怎么还比之前多了一个，多次编码好像没用了！！因为这个太老掉牙的编码已经被玩透了hh！不行，现在易容没有用了，人家检查的是灵魂～再去试试别的。大家不要紧张，说免杀感觉好难啥的，我会跟大家一起去学习！基础...

04月10日22 views评论

阅读全文

安全文章

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

上周日联合@Ar3h 师傅一起，在【代码审计知识星球】里发布了一个Springboot的小挑战：https://t.zsxq.com/tSBBZ，这个小挑战的核心目标是在无法连接外网的情况下，如何利用...

04月10日7 views评论

阅读全文

安全文章

利用 PDF 文件实现盲 SSRF

在现代 Web 应用中，文件上传功能十分常见，而攻击者常利用这一点实施 SSRF 攻击。接下来将详细介绍如何利用 PDF 文件的特性来触发盲 SSRF，从而绕过安全检测，实现内网探测或更深层次的利用。...

04月09日16 views评论

阅读全文

安全工具

红队渗透神器！AI颠覆传统，SmartScanner 智能扫描器

SmartScanner 告别手动挖洞！自适应AI扫描器 5 分钟锁定高危漏洞！下载地址在文末免责声明⚠️ 本工具仅用于：✅ 合法授权的安全测试✅ 企业资产风险评估✅ 防御技术研究学习使用者需严格遵...

04月08日50 views评论

阅读全文

安全工具

Macrome：一款针对侦查的Excel宏文档处理工具

关于MacromeMacrome是一款功能强大的Excel宏文档读取和编写工具，该工具专为侦查研究人员和安全分析人员设计。工具安装/构建首先，我们需要使用下列命令将该项目源码克隆至本地：git clo...

04月08日11 views评论

阅读全文

安全工具

SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

04月07日15 views评论

阅读全文

安全文章

HTB-TheFrizz笔记

扫描靶机 nmap -A -v -T4 10.10.11.60 windows主机有个80端口，先看80端口右上角有个按钮，点击进去进去后在左下角有个版本信息，是v25，在网上可以找到这个pochtt...

04月02日129 views评论

阅读全文

安全文章

sql bypass案例

宇宙免责声明！！！本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题，并采取适当的防护措施来保护自身系统免受攻击。严禁将本文中的任何信息用于非...

03月31日21 views评论

阅读全文

安全文章

实战分享——离谱的JDWP服务导致接管服务器与数据库

最近赶论文又上班忙飞了，都没空更新公众号，这周总算是把初稿弄好了。正好这周项目里遇到一个好玩的利用，跟大家分享一下。（原谅重码了，我还是很珍惜这份工作的）前情提要在对客户做资产梳理的时候，发现开启了一...

03月31日12 views评论

阅读全文

黑盒渗透测试中的常见的20种Payload生成技法

Burp Suite XSS漏洞检测插件

Apache Shiro 框架漏洞利用全流程

免杀入门-基础篇小白都可以看懂

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

利用 PDF 文件实现盲 SSRF

红队渗透神器！AI颠覆传统，SmartScanner 智能扫描器

Macrome：一款针对侦查的Excel宏文档处理工具

SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具

HTB-TheFrizz笔记

sql bypass案例

实战分享——离谱的JDWP服务导致接管服务器与数据库

在线咨询

微信