ffuf 是集成式的模糊测试工具,提供目录发现、虚拟主机发现、GET/POST参数模糊测试、集成Radamsa自动生成测试用例、请求响应自动筛选、响应时间、响应码、正则表达式等匹配,还有诸多功能。 0...
渗透实战|记一次RCE-内网之旅
起因:Nuclei爆红,Atlassian Confluence的命令执行漏洞,编号:CVE-2022-261341.思路命令执行-反弹shell失败-反弹shell成功-代理nps落地-内网之旅2....
全网最全 postman 使用教程!
来源:www.toutiao.com/i6913538714060800515postman是一款支持http协议的接口调试与测试工具,其主要特点就是功能强大,使用简单且易用性好 。无论是开发人员进行...
几款web指纹识别工具分析
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全老师Webfinger简介这是一款很小巧的工具,由Python2编写,使用Fofa的指纹库Github地址:htt...
【追本溯源】WebSocket通信协议基础原理与潜在安全威胁
网安教育培养网络安全人才技术交流、学习咨询前言最近在项目上遇到了 WebSocket 通信,由于原来没有了解过 WebSocket,所以一开始上来也比较懵,接着学习了下 WebSocket 的原理和攻...
在登录 OAuth 流程中使用OAuth-dance方法进行帐户劫持(上)
"OAuth-dance”方法是什么?响应类型首先,你可以在OAuth-dance中使用不同的响应类型,最常见的三种是:1.代码+状态。该代码用于调用 OAuth-provider 服务器端以获取令牌...
45.QT boot工具导入xml动态创建状态机Apple的学习笔记
一,前言基于stm32的uds Boot调试成功--Apple的学习笔记已经实现了单片机bootloader代码,测试用自己写的canoe CAPL脚本对bootloader进行测试。但是我的目的是玩...
Java反序列化回显学习(一)
前言在测试某反序列化漏洞,可以通过URLDNS链确定漏洞是否存在但在利用时遇到了困难,相关利用链可以执行系统命令却无法得到回显。因此需要在此基础修改利用链达到命令回显得目的,下边记录的即是此次修改的过...
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)
1、漏洞描述CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在...
绕过Struts2 waf写入冰蝎马
继之前的Struts2绕过waf读写文件之后,遇到了一个实例,分享一下思路0x01 背景朋友发来一个struts2有waf的站点,能检测到漏洞,但是命令执行不了,上传shell肯定也就不行了,估计是检...
靶场项目实战编写
前言 电气鼠靶场系统包含了常见的漏洞案例,有提示和代码案例。初学者可以通过查询资料等方式通过关卡,在试炼的过程学习漏洞原理和代码审计。为什么会想到编写电气...
Zimbra攻击面分析
0x01前言本文主要是对zimbra历史漏洞的利用以及后渗透方面介绍,不涉及对漏洞源码具体分析,有兴趣的师傅可以自行调试源码。0x02Zimbra介绍Zimbra提供一套开源协同办公套件包括WebMa...
28