- 博客(8)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 Bypass安全狗
0x00 手工fuzz绕过安全狗环境安全狗最新ApacheV4.0版(Windows)Sqli-lab-Less-1Phpstudy集成环境:Apache2.4.39、Mysql5.5.29Sqli-lab-Less-1中包含了联合查询、报错注入、布尔盲注、时间延时盲注等注入姿势,方便我们进行测试。1、fuzz安全狗拦截策略http://192.168.174.136/sqli-labs-master/sqli-labs-master/Less-1/?id=1' 报错且不拦截http
2021-09-08 17:03:20
662
2
原创 使用veil进行木马生成
安装veil使用docker部署:拉取镜像:docker pull mattiasohlsson/veil执行启动命令:docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil成功即可出现如下图片:之后再进⼊镜像可以在启动镜像后使⽤下⾯命令dk exec -it 4ae72dc914c9 /bin/bashveil简单使用veil有两个免杀的⼯具,Evasion和Ordnanc..
2021-05-06 21:48:18
521
原创 使用python中的两个方法进行打包
使用python中的两个方法进行打包使用Py2exe将py后门转为exepython环境准备(1)安装Python 2.7 x86 windows版:https://www.python.org/ftp/python/2.7.16/python-2.7.16.msi*注意:必须使用x86版本Python 2.7。 即使Windows是x64的,也要安装32位版本。 并且将python.exe添加到环境变量。(2)安装32位Py2exe for python 2.7https://sourc
2021-05-06 21:34:54
733
原创 微信上线cs复现
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。一:漏洞描述此次微信漏洞由于内置浏览器使用google生态导致,漏洞利用简单,危害性级别高,攻击者向用户在微信上发送一条经过精心构造的恶意链接,PC 版用户只要点击后,shellcode(恶意代码的一种)即会启动,用户的电脑可被完全控制,造成信息泄露、木马中毒等后果。二: 漏洞影响根据腾讯安全中心的公告,这是因为 chrome 浏览
2021-04-20 20:42:09
652
原创 F5 BIG-IP 远程代码执行漏洞 CVE-2021-22986
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。一:漏洞描述F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台,,F5安全公告更新了BIG-IP,BIG-IQ中的多个严重漏洞。二: 漏洞影响F5 BIG-IP 16.x: 16.1.0.3F5 BIG-IP 15.x: 15.1.0.4F5 BIG-IP 14.x:
2021-03-25 22:34:32
896
原创 如何对前端加密后的数据进行解密爆破
如何对经前端加密后的数据进行爆破 参考文章:https://www.freebuf.com/articles/web/184455.html?replytocom=256421 编写加密传输爆破插件jsEncrypter:https://gv7.me/articles/2017/jsEncrypter/1、流程 上一个流程图,给大家捋一捋插件运行的整个流程。2、phantomJS脚本编写 phantomJS是一个没有界面的浏览器,除了不能浏览,其他的和正常浏览器一样。使用它来执行我们编写好的
2021-03-20 21:32:22
964
原创 一次src挖掘经历
一、详细说明:在喜马拉雅客服沟通处存在反射型xss漏洞,可以获取cookie信息以及IP地址二、漏洞证明:1.输入payload:<img src=a οnerrοr=console.log(“xss”)可以发现在console中执行2.与人工客服沟通输入xss平台payload成功获取cookie等信息三、修复方案:修复建议对用户的输入进行实体转义或标签黑白名单处理四、喜马拉雅官方回复为内部已知漏洞...
2021-01-19 22:02:00
909
原创 CSRF漏洞危害,防御及其dvwa环境下的利用
1.csrf(用户请求伪造)1.1原理:(攻击者知道重要操作的所有参数)当A用户使用浏览器访问一个带有csrf漏洞的网站时,并且产生了cookie值存储在浏览器中,在用户A不退出网站的前提下,这时候访问用户B(攻击者)构造的的恶意链接,使其服务器以为是用户A的合理请求以达到攻击者想要的请求。1.2危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络...
2019-08-08 14:44:12
4779
图标提取器-BeCyIconGrabber
2022-07-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人