payload - 第 59 | CN-SEC 中文网

安全工具

BlueBunny：基于低功耗蓝牙的Bash bunny命令控制C2框架

关于BlueBunny BlueBunny是一款功能强大的命令控制框架，该工具基于低功耗蓝牙实现数据通信，可以帮助广大研究人员直接通过蓝牙将控制指令发送给Bash Bunny。什么是Bash ...

01月22日22 views评论

阅读全文

安全文章

大规模猎杀盲打 XSS——实用技术

在本文中，我将揭示大规模检测盲目跨站脚本的技术。我们将深入研究用于绕过 WAF 的 Blind XSS 有效负载、GitHub 的开源工具和方法。其中大部分部分可以自动化，但请记住，手动测试通常可以给...

01月21日121 views评论

阅读全文

安全文章

批量刷洞方法，你值得拥有

扫码领资料获网安教程1:通过某空间测绘导出需要的资产，复制带有http协议的资产创建一个txt文本，复制进去直接查找进行替换，https也是一样的找到一个有漏洞的url，抓包发送到Intruder模块...

01月20日27 views评论

阅读全文

代码审计

技术研究|Jeecg-Boot SSTI 漏洞利用研究

1前言众所周知，漏洞和漏洞利用是两码事。漏洞利用的核心目的是想拿到稳定可用的服务器权限，方法无非就是反弹shell、写入webshell、打入内存马。通常情况下，如果可以执行任意代码，那么打入内存马会...

01月19日335 views评论

阅读全文

安全开发

Mythic C2 学习

安装从github上拉下来。git clone https://github.com/its-a-feature/Mythic更新kali:apt install updateapt install ...

01月19日210 views评论

阅读全文

安全文章

反序列化payload缩小长度

1.修改gadeget2.通过修改字节码删掉一些无用代码如使用asm删掉LineNumberTable 删掉行号byte[] bytes = Files.readAllBytes(Paths.get(...

01月19日19 views评论

阅读全文

安全百科

xxe漏洞(xml外部实体注入漏洞)

想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。 1.漏洞产生原理 XXE漏洞就是”攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题” 也就是说服务端接收...

01月18日41 views评论

阅读全文

安全文章

【日刷亿洞】批量爆破Druid后台账号密码

背景不会用工具的小子不配称为脚本小子，下面是【一个不正经的黑客】推出的日刷亿洞系列的教程，但毕竟不是什么正经公众号，喜欢吹牛但也喜欢将牛落地，主打的就是你对我爱答不理，我对你一往情深，日后，更爱！！...

01月15日165 views评论

阅读全文

安全文章

一个有趣的xss绕过过程

最近在对客户的一个网站进行渗透时，发现了一个有趣的xss。如下图所示：当使用<script>标签时发现被移除，如下图所示：尝试使用<scriPt>标签字母大小写绕过，发现还是被...

01月13日33 views评论

阅读全文

安全文章

REC漏洞（远程命令/代码执行）

想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。1.漏洞产生原理远程系统命令执行是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口，并且为了方便，让应用去调用代码或者系统命令执行函数去...

01月12日57 views评论

阅读全文

安全文章

关于格式化字符串

一、偏移怎么算最简单的是输入aaaa加若干个-%x，直到出现-61616161为止，算上这个和前面的总共有多少项偏移就是多少。比方说这个，偏移就是6。下面写法相同。有时候可能读入限制比较短，可能没法这...

01月11日15 views评论

阅读全文

安全文章

加密C2框架EvilOSX流量分析

1、工具简介EvilOSX是一款开源的，由python编写专门为macOS系统设计的C2工具，该工具可以利用自身释放的木马来实现一系列集成功能，如键盘记录、文件捕获、浏览器历史记录爬取、截屏等。Evi...

01月11日43 views评论

阅读全文

BlueBunny：基于低功耗蓝牙的Bash bunny命令控制C2框架

大规模猎杀盲打 XSS——实用技术

批量刷洞方法，你值得拥有

技术研究|Jeecg-Boot SSTI 漏洞利用研究

Mythic C2 学习

反序列化payload缩小长度

xxe漏洞(xml外部实体注入漏洞)

【日刷亿洞】批量爆破Druid后台账号密码

一个有趣的xss绕过过程

REC漏洞（远程命令/代码执行）

关于格式化字符串

加密C2框架EvilOSX流量分析

在线咨询

微信