Gzip 炸弹英文名为 Gzip bomb,是一种古老的被动防御手段。它的原理是当爬虫访问服务器网页资源时掺入一些高压缩比的压缩文件。如果爬虫自带解压缩功能(比如 Python requests 库)...
【刻刀】赋能Burp高效挖洞扩展工具-HaE
HaE是基于 BurpSuite Java插件API 开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。使...
Steam新版登录分析,深入了解Protobuf
1、抓包逆向第一步,必然抓包看看啦,抓的这是啥,登录只有两个包。看看第一个包urlhttps://*****/IAuthenticationService/GetPasswordRSAPublicKe...
AI 的力量:使用 ChatGPT 进行暗网监控
暗网通常 笼罩在神秘和阴谋之中,是传统搜索引擎和浏览器隐藏的互联网的一部分。在这个领域,匿名至关重要,从贩毒到网络犯罪等各种非法活动都找到了避风港。随着人工智能的快速发展,OpenAI 的 C...
利用JSRPC实现任意用户登录
公众号现在只对常读和星标的公众号才展示大图推送, 建议大家把ElyiumSec设为星标,否则可能就看不到啦! ---------------------------------------------...
Havoc Framework C2 Agent开发记录
授权转载背景💡 Havoc是一个现代的、可塑性的开发后命令和控制框架,适用于渗透测试人员、红队和蓝队。它是Github上的免费开源软件,由Paul Ungur(C5pider)编写和维护。开源地址:[...
Bark通知监控
bark通知监控demo原因 需要及时监控:例如价格涨跌通知使用app: 钉钉机器人,飞书机器人,bark通知推荐飞书或者bark,钉钉需要创建公司费劲#机器人参考:https://open.feis...
Python 实现文件上传下载
Python 实现文件下载比较容易,使用自带的 http.server 模块即可搭建一个简单的文件下载服务:python -m http.server 9999在代码中也可以通过 requests 模...
某盘移动图书馆系统审计
0x00 前言app="金盘软件-金盘移动图书馆系统"0x01 前台任意文件读取在 /pages/admin/tools/file/download.jsp 中 GET获取参数items 并可取任意文...
【ViewState 指北】获取 MachineKey
0x00 前言IIS 的 MachineKey 通常是记录在网站目录下的 web.config目录下。如果是由运行时自动生成的,则需要通过脚本或者程序执行来获取。当然,还有另一种情况:如果在安装时,默...
Apache ActiveMQ < 5.18.3 远程代码执行漏洞分析
简介Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。10月 24 日,ActiveMQ发布5...
利用Chat2DB溯源攻击者
关于工具Chat2DB 是一款由阿里巴巴开源免费的多数据库客户端工具,支持 windows、mac 本地安装,也支持服务器端部署,web网页访问。和传统的数据库客户端软件 Navicat、DBeave...
28