- 博客(15)
- 收藏
- 关注
原创 全自动化信息收集工具,解放双手
jws-cli 是一款基于python的可拓展、可定制化的一键信息收集工具,适用于辅助测试人员在攻防演练和SRC项目场景下进行快速信息收集和资产梳理。一键自动化收集目标企业资产:python jws-cli.py -c "xx有限公司" --auto。一键自动化批量扫描:python jws-cli.py -f targets.txt --auto。一键自动化扫描:python jws-cli.py -t example.com --auto。使用帮助:python jws-cli.py --help。
2024-02-06 08:39:51 370 1
原创 程序员必备基础:Git 命令全方位学习
百度百科定义是酱紫的~版本控制是指对软件开发过程中各种程序代码、配置文件及说明文档等文件变更的管理,是软件配置管理的核心思想之一。那些年,我们的毕业论文,其实就是版本变更的真实写照...脑洞一下,版本控制就是这些论文变更的管理~那么,集中化的版本控制系统又是什么呢,说白了,就是有一个集中管理的中央服务器,保存着所有文件的修改历史版本,而协同开发者通过客户端连接到这台服务器,从服务器上同步更新或上传自己的修改。分布式版本控制系统,就是远程仓库同步所有版本信息到本地的每个用户。
2024-01-31 20:42:22 613
原创 OpenSSH ProxyCommand命令注入漏洞(CVE-2023-51385)附验证方法
OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控制和文件传输过程中的数据,并由此来代替原来的类似服务。近日,新华三盾山实验室监测到OpenSSH官方发布了安全公告,修复了一个存在于OpenSSH中的命令注入漏洞(CVE-2023-51385),攻击者可利用该漏洞注入恶意Shell字符导致命令注入。此漏洞是由于OpenSSH中的ProxyCommand命令未对%h、%p或类似的扩展标记进行正确的过滤,攻击者可通过这些值注入恶意shell字符进行命令注入攻击。配置完成后,执行下面的指令触发。
2024-01-29 20:18:36 648
原创 Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描
Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞扫描。支持在多种系统架构无需额外依赖运行,方便设备携带与任务执行。可视化,系统提供一套精美的 UI,自适应各种尺寸设备。极高的运行效率,允许设置扫描线程数量及响应超时。安全,系统内置插件仅具有检测能力,无损害行为。灵活的插件扩展机制,可编写自定义验证逻辑。丰富的检测插件,源于互联网及开放社区提供。
2024-01-29 14:01:22 329
原创 【已复现】Jenkins 任意文件读取漏洞(CVE-2024-23897)附POC下载
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。2024年1月,互联网公开了一个Jenkins的任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。内置的命令行接口(CLI)存在一个特性,允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。
2024-01-28 14:07:30 3500
转载 都 2024 年了,该如何搭建新的 React 项目?
在前端技术日新月异的今天,React 社区已经不再将 create-react-app 作为创建新项目的首选工具,而是推荐使用社区中流行的由 React 驱动的框架来创建新项目。本文就来探讨在 2024 年创建 React 项目的方式及其优缺点!
2024-01-28 13:57:45 105
原创 一款用于测试越权、未授权的burp 插件
xia_Yue (瞎越)burp插件主要用于测试越权、未授权感谢名单:Moonlit注意默认使用jdk1.8编译在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行,请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。插件描述返回 ✔️ 表示大小和原始数据大小一致返回 ==> 数字 表示和原始数据包相差的大小插件截图2023-3-4 瞎越v1.2优化url显示优化相同数据包避免二次发送2023-2-8 瞎
2024-01-27 22:43:04 537 4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人