工具介绍 Code-audit是一款使用python开发的自动化代码审计工具,支持GTP代码审计、危险函数搜索、全局关键字搜索等。工具使用yaml规则 工具使用 导入YAMl规则后,直接导入源码进行扫...
clash_for_windows_pkg 远程代码执行漏洞复现
概述Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导...
一款在线的免杀平台
https://github.com/yutianqaq/AVEvasionCraftOnline sudo apt update image-20241130005838400 sud...
如何使用Kubesec执行Kubernetes资源安全风险分析
关于KubesecKubesec是一款针对Kubernetes的安全工具,在该工具的帮助下,广大研究人员可以轻松执行Kubernetes资源安全风险分析任务。 工具要求Golang 工具安装 源码获取...
Nuclei 图形化yaml模板生成工具(自编写)
下载地址: https://github.com/Magareally/Gui-Nulcie-Templates-Generator 原文始发于微信公众号(星期天不睡懒觉):Nuclei 图形化yam...
Yaml反序列化漏洞原理与实践
SnakeYaml序列化与反序列化SnakeYaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。此漏洞起因是错误使用了序列化方法,并且反序列化了不可信的数据,故理论上SnakeYa...
PyYAML反序列化深入刨析
基础知识Yaml简介YAML是一种直观的能够被电脑识别的的数据序列化格式,容易被人类阅读,并且容易和脚本语言交互,YAML类似于XML,但是语法比XML简单得多,对于转化成数组或可以hash的数据时是...
千寻笔记:一次简单的灰盒挖掘记录
最近在学习代码审计,偶然想到了一个我之前见过的开源系统,就顺手分析了一下它的漏洞。各位大佬轻喷啊。影响范围:1.35<=likeadmin<=1.4.2简要描述:后台定时任务处,对于传入的...
红队批重量脆弱点搜集工具
功能如下指南别:调用“三米前有香草皮”前辈工具,他的工具比手指好用寻找资产中404,403,以及网页中存在的其他薄弱点,以及需要特定路径访问的资产后续会把核加入进来目前只有windows可以用使用第一...
Nacos从快速发现到漏洞利用,没想到如此简单?
nacos查找方法 1、fofa语法类的搜索引擎 app="NACOS"port="8848" 2、如果没有明显特征,那就通过被动扫描器,如:burp的插件TsojanScan(http...
新一代主机管理工具-Natpass
如果你有多台电脑该如何统一管理呢?natpass可以轻松解决以上问题。它是一款新一代主机管理工具,支持shell管理,支持远程桌面管理,支持多种操作系统和web平台。当然,也可以利用此工具进行渗透测试...
NacosExploit 支持不出网注入内存马
NacosExploitNacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用...