- 博客(6)
- 收藏
- 关注
原创 向日葵密码提取+todesk密码提取工具-CMD版
最新版本的todesk和向日葵已经无法从配置文件获取密码,而且常规的替换手法也已经失效。然后对指定pid的内存进行dump出来,使用二进制工具进行分析,就可以找到相关的密码。但是dump出来的文件大小都在几百M或者1G以上,就写了个工具实现自动化分析处理。通过学习别的师傅分享的思路,搞了个CMD下从内存获取密码的工具。
2024-09-18 09:33:11 350
原创 数据包自动化加解密教程之JSRPC(二)
jsrpc保姆级使用教程-自动化数据包加解密,通用所有前端加密。如果想执行加解密函数,需要在控制台进行调用。本质上就是通过在本地运行JS代码也进行处理,如果我想对这个登陆接口进行爆破,或者是对某个ID参数进行遍历呢?总不能每次都手动的去替换吧。
2024-08-26 10:46:33 967
原创 一文教你学会数据包加解密(一)之关键词定位
在进行渗透测试项目时,我们常常会遭遇数据包加密所带来的挑战。随着信息安全保护等级的要求日益严苛,以及人们对网络安全的意识逐步提升,现在越来越多的系统和应用都将数据安全性放在了首位。对于渗透测试人员而言,熟练掌握各种常见的加解密技术非常关键。无论是从个人能力发展还是行业发展趋势来看,掌握加解密知识都是迈向专业渗透测试人员的必经之路。知识点:本篇主要讲解通过关键词定位到加解密函数,作为最基础的JS逆向方法,后续会讲解通过工具和编写脚本来实现自动化处理。
2024-08-15 16:33:18 1198
原创 渗透实战-网站登陆接口账号爆破之RSA加密
在某次项目中准备对登陆页面进行爆破,发现请求包做了加密处理,无法使用常规方式进行爆破,随后还原了加密逻辑,编写脚本实现账户爆破。现在越来越多的站点对数据传输做了加密处理,让攻击者无法轻易的抓包重放,可以在一定程度上起到安全作用,对特殊敏感字段进行加密处理,例如password等,使常用工具无法轻易暴力破解及自动化。
2024-08-01 17:52:46 620
原创 渗透实战-通过xss漏洞获取Authorization、Cookie等进入后台
某次红队评估项目中实战案例,在web层存储型xss漏洞扩大成果的一种利用方式。大多数时候红队项目时间紧,任务重,会忽略一些比较低危价值不大的漏洞。知识点:使用xss漏洞获取其他鉴权字段并发送至远程服务器
2024-08-01 17:31:24 540
原创 国密SM2 SM3 SM4加解密图形化GUI工具
国密SM系列加解密图形化GUI工具,支持sm2加密,sm2解密,sm3加密,sm4加密,sm4解密,sm4支持多种填充方式,输入输出支持hex与base64。不依赖网络,适合内网使用
2024-06-20 10:49:52 1377
国密SM2 SM3 SM4加密解密图形化GUI工具
2024-06-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人