- 博客(150)
- 资源 (2)
- 收藏
- 关注
原创 Web渗透之未加密漏洞原理详解 以及攻击手法有哪些 POC EXP使用工具 Python脚本编写 以及防御措施
在应用程序或数据库中存储密码时,如果没有使用加密或哈希函数(如 bcrypt、PBKDF2),密码将以明文方式存储,攻击者可以轻松获取并利用这些密码。敏感数据通过未加密的协议(如 HTTP)传输,攻击者可以通过嗅探网络流量窃取敏感信息,如登录凭证、信用卡信息等。用于 Web 应用程序漏洞测试,可以通过代理模式捕获、修改 HTTP 请求,执行中间人攻击,分析未加密的流量。:如果应用程序没有进行签名验证,攻击者可以篡改传输中的数据(例如,篡改登录请求,修改用户的密码或账户信息)。
2025-02-08 01:00:00
260
原创 pikachu[皮卡丘] 靶场全级别通关教程答案 以及 学习方法 如何通过渗透测试靶场挑战「pikachu」来精通Web渗透技巧? 一篇文章搞完这些问题
破解mysql:简单来说就是将密码进行逐个推算直到找出真正的密码为止暴力破解分类:暴力破解需要考虑的问题:持续不断发送尝试登录的请求用户名 字典。破解mysql:简单来说就是将密码进行逐个推算直到找出真正的密码为止暴力破解分类:暴力破解需要考虑的问题:持续不断发送尝试登录的请求用户名 字典。比如说我们本地搭建了一个程序 编写了一个webshell,然后通过远程文件包含漏洞访问本地搭建的服务中的webshell文件,实现对肉鸡的控制。:一些版本的Pikachu靶场是开源的,用户可以自行部署,进行自定义配置。
2025-02-07 01:00:00
1914
原创 安全领域下载量很高的离线几个靶场 学习提高很好的训练靶场 介绍这几个靶场 下载 安装 使用 功能
通过控制靶场的环境,他们可以测试新漏洞的利用方式,评估攻击链的效果,以及验证新的漏洞利用工具的可行性。)是一个虚拟化的环境,其中包括了一个或多个模拟的目标系统,旨在模拟实际的网络或应用环境,供渗透测试人员进行模拟攻击、漏洞挖掘、技能训练和研究。例如,靶场中的一个Web应用可能包含一个SQL注入漏洞,渗透测试人员可以通过尝试不同的注入方式来探索其潜在漏洞,提升实际的攻击技术。学员可以根据靶场的难度逐步挑战自己的能力,从基本的漏洞发现到复杂的攻击链构建,全面提升自身的渗透测试能力。
2025-02-07 01:00:00
1184
原创 渗透测试逻辑漏洞 如何挖掘逻辑漏洞 常见的逻辑漏洞 如何避免逻辑漏洞
什么是逻辑漏洞我们对常见的漏洞进行了统计分析,发现越权操作和逻辑漏洞的比例最高,并且在我们测试过的平台中几乎都有发现,包括任意查询用户信息、任意删除等操作。最严重的漏洞涉及账号安全特别是重置任意用户密码和验证码暴力破解等问题这些漏洞在OWASP Top 10中已有提及,分别对应不安全对象引用和功能级别访问控制缺失。不安全对象引用指的是平行权限的访问控制缺失。例如:A和B是同一网站的普通用户,他们的个人资料应该相互保密,但由于访问控制的缺失,B用户可以通过程序恶意访问A的个人资料。
2025-02-06 02:00:00
1375
原创 木马常见类型 分类 防御 特性 一篇文章搞定
什么是木马木马分类:1. 远程访问木马(RAT, Remote Access Trojan)2. 键盘记录木马(Keylogger Trojan)3. 银行木马(Banking Trojan)4. 后门木马(Backdoor Trojan)5. 下载木马(Downloader Trojan)6. 伪装木马(Disguised Trojan)7. 勒索木马(Ransom Trojan)8. 蠕虫木马(Worm Trojan)9. Rootkit木马10. 社交工程木马。
2025-02-06 01:00:00
1378
原创 SQL注入语句中经常用到的URL编码 常用
SQL 注入攻击是通过恶意 SQL 代码来篡改数据库查询语句的一种攻击方式。攻击者通常会通过输入恶意的 SQL 代码来绕过应用程序的安全检查。为了成功执行 SQL 注入攻击,攻击者有时需要使用 URL 编码来绕过应用程序的过滤机制或限制。
2025-02-05 10:37:41
1606
原创 Owasp top ten 对应的十大web漏洞细分讲解一篇文章给你讲解清楚
应用程序使用了过时的、存在已知漏洞的组件(如旧版本的库、框架或插件),而这些漏洞被攻击者利用来发动攻击。应用程序未能记录重要的安全事件或未能及时监控系统的活动,攻击者可能在不被发现的情况下执行恶意操作。身份验证过程不充分,攻击者可能通过绕过认证机制来获得未授权的访问权限。攻击者通过伪造请求,诱使服务器向内部资源或外部系统发起请求。SSRF通常用于绕过防火墙、访问内部资源或外部服务。例如,弱密码、密码泄露、身份验证逻辑漏洞等。
2025-02-05 01:45:00
1804
原创 渗透测试之文件包含漏洞 超详细的文件包含漏洞文章
是一种常见的Web安全漏洞,它允许攻击者通过修改文件路径,包含服务器上未经授权的文件,可能导致敏感信息泄露、代码执行或服务器被入侵。等)是文件包含漏洞的核心来源,尤其在未严格验证用户输入时,容易导致路径遍历、远程文件包含(RFI)或本地文件包含(LFI)攻击。攻击者通过修改程序中的文件路径参数,访问并读取本地文件(如配置文件、日志文件、甚至敏感的系统文件),有时也能执行恶意文件。日志包含漏洞是指攻击者通过注入恶意内容到日志文件中,可能会破坏日志文件的完整性,或通过日志文件将恶意代码执行。
2025-02-04 21:09:42
3037
原创 WAF绕过方式汇总 详解
空格替换法编码混淆协议特性利用(1) HTTP 分块传输(Chunked Encoding)(2) 协议版本降级参数污染(Parameter Pollution)延迟攻击(Time-Based Bypass)注释符插入混合攻击(Polyglot Payloads)伪造 X-Forwarded-For 头修改 User-Agent动态 IP 或代理池利用云服务特性(1) 云函数绕过(2) CDN 边缘节点利用使用大小写绕过编码与注释结合使
2025-02-04 04:30:00
2007
原创 应急响应之什么是应急响应?网络应急响应介绍
应急响应,其英文是Incident Response 或 Emergency Response减少突发事件造成的损失,包括人民群众的生命、财产损失,国家和企业的经济损失,以及相应的社会不良影响等。通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施应急响应所处理的问题,通常为突发公共事件或突发的重大安全事件。通过执行由政府或组织推出的针对各种突发公共事件而设立的应急方案,使损失降到最低。
2025-02-04 03:15:00
2475
原创 python渗透开发 高阶段位之 waf绕过sql注入 sqlmap --temper模块开发以及框架逻辑修改 以及解释Temper是什么?
比如控制注入的行为,或在执行过程中加入特定的操作。这种操作常见于以下场景:需要绕过 Web 应用防火墙(WAF)或其他安全设备时,通过临时添加伪造的 HTTP 头部。提供特殊的身份验证信息或自定义的请求标头。
2025-02-03 01:00:00
2782
原创 文件上传之waf绕过 方式方法汇总超详细 持续更新
部分 WAF 仅检查最后一个扩展名,而服务器可能解析第一个有效扩展名(如 Apache 解析顺序漏洞)。→ Apache 可能解析为 PHP 文件(需配置漏洞)。:Windows 系统特性(如 NTFS 流)、空格截断。:WAF 检测文件开头特征,但服务器忽略注释。:暴力破解扩展名或 Content-Type。:将恶意代码嵌入 GIF 动画的注释或帧中。(PHP 5.3.4 之前版本可能有效)。→ IIS 可能解析为 ASP 文件。:自动化测试文件上传漏洞。(注入恶意元数据)。
2025-02-03 01:00:00
3055
原创 WAF如何识别以及绕过鉴权方式方法 以及指纹识【判断是否存在WAF】识别工具
waf绕过和鉴权过waf的手段 sql注入绕过waf在请求数据包中的数据 都需要过waf 这种都是可以在编码中绕过自己写绕过规则 在sqlmap tamper中写入自己的py文件WAF识别。
2025-02-01 02:30:00
4498
原创 python渗透开发工具脚本 面向对象封装成方法 脚本逻辑 分享重构代码
回顾构造方法重构创建新任务记录任务ID 代码重构设置任务ID扫描信息开始扫描对应ID任务读取扫描状态判断结果扫描结果查看【测试报告】扫描结束删除ID并获取结果整体代码
2025-02-01 01:06:22
4278
原创 渗透测试之WAF组合条件绕过方式手法详解以及SQL注入参数污染绕过
1.mysql关键字中是不能插入/**/的,即se/**/lect是会报错的 但是函数名和括号之间是可以加上/**/的,像database/**/()这样的代码是可以执行的2./*!*/中间的代码是可以执行的,其中50010为mysql版本号 只要mysql大于这个版本就会执行里面的代码3.数据或者函数周围可以无限嵌套()4.利用好%00 user())http参数污染绕过waf
2025-01-31 18:43:53
4022
原创 python渗透开发之 sql注入SqlmapApi自动化扫描方式讲解 单方法编写代码 SRC漏洞挖掘逻辑分析
安装和配置 Sqlmap启动 Sqlmap API 服务:使用 API 进行扫描(Python代码部分)SQLMAPAPI开发整体过程获取任务ID设置任务ID扫描信息开始扫描对应ID任务读取扫描状态判断结果 扫描结果查看 扫描结束删除ID并获取结果最后:
2025-01-31 17:27:50
4070
原创 SQL注入漏洞之后渗透 如何利用 利用的点是什么? 一篇文章给你说明白
使用union查询的时候需要探测 前面几个字段 order by 查询了几个字段 报错 然后一个个个字段减法操作。运维人员部署项目用的什么权限 那么我们侵入后就是什么权限,所有这也是对运维人员有所要求。通过一个注入点 我们可以控制一个服务器 我们需要借助一个木马程序 getshell。最好是myesl的root用户 这个条件不是必须的 前面三个条件满足就可以了。物理路径具备写的权限【你需要写入木马程序上目标服务器 提权操作】。我们把一些木马程序通过注入点写入到服务器上,进而控制服务器。
2025-01-30 03:30:00
4928
原创 SQL注入漏洞之绕过[前端 服务端 waf]限制 以及 防御手法 一篇文章给你搞定
例如,需要输入的是整型,那么,可以判断用户的输入,如果包含非整型,例如,字符串"AND"、“BENCHMARK”等,则不运行sql语句。其他类型,例如,邮箱等可以通过使用正则表达式来进行判断。使用安全的存储过程对抗SQL注入,由于存储过程中也可能存在SQL注入问题,应尽量避免使用动态SQL语句。mysql扩展功能,在/*后加惊叹号,注释中的语句会被执行。不同的编程语言Java、Php有不同的语法,就不做展示了。1、Mysql中的大小写不敏感,大写与小写一样。有的网站过滤了空格,可以尝试使用。
2025-01-30 00:47:37
4367
原创 SQL注入漏洞之高阶手法 宽字节注入以及编码解释 以及堆叠注入原理说明
在 mysql 中php的函数里面 mysqli_multi_query 和 mysql_multi_query这两个函数(函数也叫做API)斜杠不能转移 我们将斜杠转化成一个汉字,那么斜杠就没意义了 只要开启了反斜杠转移的情况下 使用了gbk连接数据库的情况下。分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将对数据安全造成重大威胁。当然,还有双引号等,除了GBK还有GB2312等编码,有兴趣的可以整理一下所有的。让这些符号的意义失效,或者可以理解为被注释掉了。
2025-01-29 21:21:18
4716
原创 SQL注入漏洞之错误类型注入 爆破表 字段 列名称 以及mysql版本 以及Limit使用方式解释 以及靶场相关联系
Schemata【存放的数据库名称】 tables【存放的表名称 数据库名称】 columns【列名 表名 数据库名称】其中m指的是m是记录开始的位置从0开始表示第一条记录 n是指取N条记录 比如说从0开始取出第一条数据。错误报错语句:----------> 但是这样显示的不是很全的信息在借助另外一个函数Content。extractvalue() :函数也是MYSQL对XML文档数据进行查询的XPATH函数。Updatexml() :函数是MYSQL对XML文档数据进行查询和修改的。
2025-01-29 21:11:10
4779
原创 SQL注入漏洞之 提交方式类型注入 Get分类 Post分类 Cookie分类 请求数据位置分类 请求行 请求头 请求数据分类 靶场练习
就能拿到值只要服务端取出了请求头相关字段和数据库去打交到了。$_REQUEST(全部接受)这个安全性就有很大的问题。而是取得查询参数数据其他语言,看开发框架,不同的框架。$_POST 只能接受Post上面的数据。提取http请求数据的写法或者说函数不同。那么我们就可以获取到数据库的相关数据信息。$_COOKIE(接受cookie)#$_GET不是取get请求携带的数据。用常规语句是无法看到是注入后的效果。$_REQUEST(全部接受)$_POST (接受post)在User-Agent输入。
2025-01-28 03:30:00
6364
原创 SQL注入漏洞之 增删改查注入 一篇文章说明 以及靶场练习哟
删除注入语句 删除注入语句和上面的注入方式是一致的 只是请求方式变成了get请求。就是前端注册(或者提交)的信息最终会被后台通过insert这个操作插入数据库。Instert 注入 在页面上也就是post请求 也就是在抓包工具中注入。select、delete、update、insert,也就是增删改查。Update 注入语句 和 instet 插入语句一样。
2025-01-28 02:00:00
5894
原创 渗透测试之WAF规则触发绕过规则之规则库绕过方式
测试最新版本的WAF可以完美绕过。这个需要mysql版本大于5.00.00。/*|%23--%23|*/ 注释符号 *|%23--%23|* 干扰符号。在mysql中这个不是注释,而是取消注释的内容。这个方法也可以部分绕过最新版本的WAF。/包含关键词进行绕过。用一些特殊字符代替空格,特殊字符拼接绕过waf。Mysql 内置得方法。Waf触发规则的绕过。
2025-01-27 19:18:20
6471
原创 渗透测试-WAF是什么以及原理解释 waf功能详解
攻击打点的时候都会出现waf网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体:服务器工具功能:涵盖了网马/木马扫描防SQL注入防盗链防CC攻击网站流量实时监控网站CPU监控下载线程保护IP黑白名单管理网页防篡改功能等模块能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害网站WAF是一款服务器安全防护软件是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。
2025-01-27 18:44:09
6592
原创 SQL注入漏洞之SQL注入基础知识点 如何检测是否含有sql注入漏洞
什么是SQL注入SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时用户可以修改参数或数据并传递至服务器端导致服务端拼接了伪造的SQL查询语句---服务端连接数据库并将伪造的sql语句发送给数据库服务端执行数据库将sql语句的执行结果返回给了服务端服务端又将结果返回给了客户端从而获取到敏感信息,甚至执行危险的代码或系统命令注入产生的原因是接受相关参数未经处理直接带入数据库查询操作前端页面上所有提交数据的地方不管是登录、注册、留言板、评论区、分页等等地方。
2025-01-25 02:00:00
7797
原创 渗透测试之WAF身份认证绕过之白名单绕过方式全面讲解
base64编码绕过 这个需要配合前端js加解密的方式进行绕过 服务端好解析。或者换成cookie的攻击代码 其实就是请求方式注入编码一种注入方式的切换。修改这个useragent 可以绕过白名单批量 更换useragent。如果服务端和waf没对应好,那么取出来和数据库打交道那么就会存在问题。很多WAF都可以这样绕,测试最新版WAF能绕过部分语句。发现是 /admin/* 开头的路径请求就直接放行了。云waf 也就是dns解析 在云waf进行处理。社工手段找到真实ip就可以绕过DNS的云waf。
2025-01-25 01:00:00
7976
原创 SQL注入漏洞之盲注原理 sql注入 DNSLOG注入回显 详解 XFF注入 靶场练习以及案例说明哟
substr()函数 substring -- sub子集 string -- 字符串 子字符串 aabbcc -- aa bb aab aabbc pikachu 从第一个位置开始取出1个字符 ascii('p')SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注.我们在读取文件、执行命令注入等操作时无法明显的确认是否利用成功,这时候就要用到我们的DNSlog注入。如果使用了布尔盲注没有错误返回,其实还有一个盲注类型是可以尝试的那就是时间类型盲注.
2025-01-24 03:00:00
8796
原创 SQL注入漏洞之联合注入查询Union 靶场案例练习
可以查任何表得数据 至于表明列名称 列得长度需要特别注意数量 多了少了都不行这个需要尝试。必须和union前面的select查询字段个数相同,这是union的特点。字符型注入,目标:获取当前数据库中的所有用户名及其他感兴趣的信息。而且相同数据库的不同版本也有着不同的特性。根据这些特性可以有不同的利用手段。联合注入查询 Union。不同的数据库有不同的特性。不同的内置数据库名和表名。不同数据库之间的注入。不同的sql语句写法。
2025-01-24 02:00:00
9656
原创 SQL注入漏洞之基础数据类型注入 字符 数字 搜索 XX 以及靶场实例哟
注意: 这里的 %' or 1=1 #%' 虽然单引号可以闭合 但是很多时候还是需要闭合%我们在vince后面添加单引号来闭合vince。注入 数字 字符 搜索 xx 注入类型。再在1=1后面添加注释#来消除掉后面的单引号。这样来完成一个SQL语句的拼接合法性。也就是搜索性要多注意%的闭合。以上就是基本的数据类型。数字型、字符型、搜索型、xx型。基础数据类型SQL注入。基础SQL注入类型分类。
2025-01-23 10:23:49
9243
原创 渗透测试之信息收集工具<>神器Xray -Xapp<>高阶段手法 爬虫以及被动代理模式
/// ._/\/v0.0.2\/[INF] 25-01-12 13:52:03 更新配置文件于以下位置:C:\Users\Administrator\.xray\xapp\xapp-config.example.yaml [app.go:385][INF] 25-01-12 13:52:03 使用以下位置的配置文件:C:\Users\Administrator\.xray\xapp\xapp-config.yaml [app.go:447]
2025-01-23 04:15:00
9051
原创 渗透测试之漏洞检测工具<>神器Xray webscan<>高阶段手法 爬虫以及被动代理模式
而这个证据主要的作用是什么了 也就是当https的数据流量例如到xary的时候如果浏览器没有xary的证书。支持格式如 t.com、*.t.com、1.1.1.1、1.1.1.1/24、1.1-4.1.1-8。那么xary是无法检测的,所以我们在做检测的时候需要将xary的证书导入到浏览器中。后在配置文件夹中会生成2个ca证书,而这个证书是xary的。也就是点击了某个功能,而数据包流进我的代理模式的xary上。也就是我们要抓https的证书需要安装xary的 ca证据。监听本地地址以及端口是8080的。
2025-01-23 03:30:00
8810
原创 渗透测试之 图片马以及文件包含漏洞 导致 一句话木马利用方式过程 大马 小马 shell webshell getshell 区别-常见木马利用方式 超详细关于shell相关知识点
在上面也说了原理是利用,sql xss rce 等注入漏洞写入服务目录下,或者通过上传下载漏洞进行利用webshell,但是现有的的服务几乎很难利用这种方式进行利用,因为相关静态库或者动态库都会将这些文件或者关键字都过滤掉。利用文件上传漏洞、SQL注入漏洞、RCE漏洞等,将恶意文件放到web服务器中,也就是常说的”后门”,之后可以进行文件管理、数据库管理、远程命令执行、提权等恶意操作。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。
2025-01-22 06:00:00
9136
原创 渗透测试之漏洞检测工具<>神器Xray webscan<>中阶手法
生成ca证书和key,xray是有个抓包模式的,如果抓HTTPS的包,就需要在电脑或者浏览器上导入一下xray的证书。任意跳转检测 (key: redirect) CRLF 注入 (key: crlf-injection)#运行反连平台服务,一般是处理一些没有回显的漏洞,比如我们前面学过的dnslog平台的功能。#指定配置文件启动,默认没有配置文件,一会我们使用xray的时候,它会自动生成。xray是没有图形化界面的,纯靠命令行来使用,可以使用cmd黑窗口。
2025-01-22 05:00:00
9312
原创 Web渗透测试之CSRF 跨站脚本伪造 原理 检测行为 攻击重点 挖掘手法 防御手法 一篇文章说的明明白白
CSRF跨站请求伪造,尽管听起来像是跨站脚本但是它和xss不相同,xss利用站点内的信任用户,从而csrf则通过伪装成受信任用户请求受信任网站这个就是很难防范了,所以csrf比css更加具有危险性。csrf也称之为蠕虫攻击,刷seo流量等其实现在电信诈骗叔叔叫我们不要扫描二维码我们就可能遭受财产得损失因为这样我们得信息【Cookie session 键盘操作 用户名密码等等】就可能被盗取了从而就导致财产损失,其实这种也叫钓鱼行为。实现步骤。
2025-01-21 05:00:00
9207
原创 web渗透测试之CSRF 实际案例 告知你如何玩转CSRF 跨站脚本伪造攻击 短链接 以及结合XSS漏洞组合
id=25删除执行语句 再没有cookie的网站会直接跳转到登录页面构建一个自动解压的压缩包 加入解压后执行语句点击解压 数据被删除。
2025-01-21 04:00:00
10549
原创 渗透测试之webshell 蚁剑 流量分析 特性分析 抓包分析
AntSword(蚁剑)是一款开源的网络安全工具,常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机,执行命令、上传下载文件等操作。蚁剑与网站进行数据交互的过程中 发送的数据是经过编码器编码后再发送 支持的编码方式有default(默认的)、base64、chr、chr16、rot13;网站返回的数据经过解码器中的编码方式编码后返回 支持的编码方式有default、base64、rot13。
2025-01-20 08:15:33
9742
原创 渗透测试之SSRF漏洞原理 危害 产生的原因 探测手法 防御手法 绕过手法 限制的手段
如:http://www.aaa.com@www.bbb.com@www.ccc.com,在对@解析域名中,不同的处理函数存在处理 差异 在PHP的parse_url中会识别。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。即@ http://www.xxx.com@www.xxc.com。
2025-01-20 07:30:00
9573
原创 渗透测试-条件竞争渗之文件上传绕过方式
常见的共享对象有共享内存,文件系统,信号。当然,你也可以不刷新页面,向书中一样,拉动Results,找到序号1000的Response,查看结果。条件竞争就是两个或者多个进程或者线程同时处理一个资源(全局变量,文件)产生非预想的执行效果,从而产生程序执行流的改变,从而达到攻击的目的。条件竞争,发生在多个线程或进程在读写一个共享数据时,结果依赖于他们执行的相对时间的情形。程序的逻辑很简单,运行时会在同目录下生成一个名字为shell.php的WebShell。这里的执行流包括线程,进程,任务等级别的执行流。
2025-01-18 08:07:24
12330
原创 渗透测试之XEE[外部实体注入]漏洞 原理 攻击手法 xml语言结构 防御手法
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明DTD文档类型定义(可选)文档元素其实XML是一门语言,类似于html,但是后来主要用xml的文档格式来传输数据,但是现在比较新的系统,大家之前传输数据用的是json了。
2025-01-18 08:06:20
12236
原创 Web渗透测试之伪协议与SSRF服务器请求伪装结合? 能产生更多的效果
http:// 主要用于探测主机存活和端口的开放情况file:/// 从文件系统中获取文件内容,如,file:///etc/passwddict:// 字典服务器协议,访问字典资源,如,dict:///ip:6739/infogopher:// 分布式文档传递服务,可使用gopherus生成payloadftp://针对21端口的探测sftp://SSH文件传输协议或安全文件传输协议ldap:// 轻量级目录访问协议 windows域控。
2025-01-17 19:01:37
12889
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人