- 博客(16)
- 收藏
- 关注
RSS订阅原创 微信小程序反编译通杀【附工具】
看了好几个关于反编译小程序的,写的都比较模糊,什么测试了几次,还是反编译不出来,感觉还是不太适合我这种小白。说实话,我就喜欢用工具就能搞定的这种。作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。
2025-03-04 12:53:48
844
原创 python 反编译pyc文件
如果我们想将pyc文件在编译成py文件该怎么做呢?反编译在编译到15个时报错,现在还不知道原因。使用python的库进行编译(如果速度很慢或者直接报。
2025-01-17 16:10:35
687
原创 Linux操作系统如何进入救援模式及挂载磁盘问题
在 Linux 发行版中,救援模式等效于使用 SysV 作为默认的服务器管理器的单用户(single user)模式。在救援模式中,将挂载所有的本地文件系统,将仅启动一些重要的服务。但是,不会启动一般的服务(例如,网络服务)。救援模式在不能正常引导系统的情况下是很有用的。此外,我们可以在救援模式下执行一些重要的救援操作,例如,重新设置 root 密码。
2025-01-08 17:05:15
3925
原创 大华智能物联综合管理平台 fastjson代码执行
本文旨在提供有关特定漏洞或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。目前已提供解决方案,请关注厂商主页更新:https://www.dahuatech.com/作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请联系作者删除.
2025-01-07 23:43:32
467
原创 富通天下外贸ERP UploadEmailAttr文件上传漏洞
本文旨在提供有关特定漏洞或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请联系作者删除。
2025-01-07 23:17:13
294
原创 金蝶云星空反序列化漏洞POC合集
影响版本fofa反序列化工具:https://github.com/pwntester/ysoserial.net生成请求头执行命令的PayloadPOC4:金蝶云星空K3Cloud-AppDesigner存在反序列化漏洞POC5:金蝶云星空K3Cloud-DynamicForm存在反序列化漏洞POC6:金蝶云星空ServiceGateway反序列化漏洞POC7:金蝶云星空AccountService反序列化漏洞。
2024-12-30 23:28:46
357
原创 使用Ettercap进行DNS劫持获取目标账号密码
Ettercap是一个流行的网络嗅探和中间人攻击工具,主要适用于交换局域网络。它可以在计算机网络中发挥重要的作用,拦截网络通信,并对其进行监视、修改或注入恶意内容,实现中间人攻击。该工具支持各种操作系统,并提供了丰富的功能和模块化的插件架构,使得用户能够根据自己的需求进行定制。在安全性方面,Ettercap可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。它也常被渗透测试人员使用,几乎每个渗透测试人员都会使用它作为必备工具之一。Ettercap其目前,在。
2024-12-27 13:42:16
947
原创 preg_replace在/e模式下的代码执行
意为在 “this is a test” 字符串中找到 “test”,并将其替换为通过$_GET["a"]获取的。被认为是危险的,因为它允许在替换过程中执行任意的 PHP 代码,从而可能导致安全漏洞。:是一个非常关键的选项,表示 PHP 会在替换时执行替换内容中的 PHP 代码(通过。:这是要进行搜索和替换的原始字符串。在这个例子中,原始字符串是。:这是正则表达式模式,用于匹配字符串中的特定部分。:这是用来替换匹配部分的内容。将作为替换内容,并且 PHP 会执行。中的 PHP 代码。
2024-12-25 11:03:51
247
原创 hFish蜜罐搭建和POC捕获
HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力准备从内网服务器docker搭建一个过程很简单。
2024-12-23 15:07:39
476
原创 使用ffuf快速进行模糊测试
我们将使用此位置值作为变量的种子。如果知道参数名称,则可以用相同的方式对值进行模糊测试。也可以将两个标志组合起来,限制每个作业的最大执行时间以及总执行时间。您可以在此文件中配置一个或多个选项,它们将应用于每个后续 ffuf 作业。当(重新)配置过滤器时,它们会在事后应用,并且所有被新添加的过滤器过滤掉的内存中的误报匹配都会被删除。在本例中,我们将对通过 POST 发送的 JSON 数据进行模糊测试。文件加载的配置选项。命令行标志定义配置文件路径来实现,该命令行标志将配置文件的文件路径作为其参数。
2024-12-21 23:06:07
754
原创 nginx 使用user.ini配合文件上传getshell
通过上传自定义文件.user.ini 使php去读取其内容,将指定文件包含在一个正常的php文件中,进行解析,从而达到getshell的结果。该方法用在文件上传,.user.ini可以上传成功,且在上传目录下存在一个正常的php文件即可。可以在php文件无法正常上传,不存在文件包含漏洞,图片马上传之后无法解析的情况下进行。
2024-12-13 18:14:30
823
原创 Windows如何美化cmd窗口
一个美观的开发界面,对于调试程序、管理代码版本、提升编程体验等有着至关重要的作用。本文介绍了windows平台下命令行界面的美化方法,以期让读者拥有更好的编程体验。在图形化用户界面(GUI)大规模普及之前,命令行界面(CLI)一直是电脑界的主流。CLI开销小、运行快速,但是非专业用户使用不方便。如今,不从事开发的电脑用户接触到命令行的机会已经很少了(非计算机系学习C,可能只会在“命令行参数”一节接触到命令行),但如果从事软件开发,使用git、gcc等工具,熟练掌握命令行的使用还是有必要的。
2024-12-06 20:32:54
2216
原创 利用makcert nginx配置https证书
它能让你快速生成本地受信任的SSL/TLS证书,轻松打造安全的HTTPS开发环境,成为许多开发者的首选。除了基本的SSL证书,mkcert还可以生成客户端认证证书、ECDSA密钥、PKCS#12文件等,为复杂场景下的开发提供更高的安全性。相比传统的SSL证书生成方式,它完全摆脱了繁杂的手动配置。不论是本地的localhost,还是特定的IP地址和自定义域名,mkcert都可以生成对应的证书,支持多样化的开发测试环境。这个命令会在你的系统信任存储中安装一个本地CA证书,mkcert生成的所有证书都会被信任。
2024-12-05 23:24:58
512
原创 struts2 代码执行 (CVE-2020-17530)
struts在某些情况下可能存在OGNL表达式注入注入漏洞,如果开发人员使用了%{…}语法,进行强制的OGNL解析,某些特殊的TAG属性可能被双重解析,攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行。OGNL表达式注入注入漏洞,如果开发人员使用了%{…}语法,进行强制的OGNL解析,某些特殊的TAG属性可能被双重解析,攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行漏洞。#struts2代码执行漏洞。
2022-09-27 20:51:17
1199
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人