安全研究
攻击者如何隐藏自已的IP
小白,刚学完web,做过两个项目的渗透测试,相当于完整了解熟悉整个流程和所需技能,这两天打ctf被一个同小白问到这个问题:有没有什么匿名性高(相比肉鸡类的僵尸网络)、攻击面小(相比JS)的跳转方式?红队选手一般会怎么搞,求教,谢谢
最近研究py。找到的一个批量处理域名成顶级域名的一个小脚本分享给各位老哥
最近想写个自动化工具。因为想要配合oneforall 所以 必须将收集到的域名处理成顶级域名。其实是想自己写的,可真是写起来才知道还是比较难处理的。于是想着网上找找看有没有前辈写好的,找到个靠谱的小脚本,已经忘了具体出处了 {:6_441:} 这种数据处理可真是难搞啊,看了前辈写的代码才算是明白了思
拿到一个站有延时注入,有什么方法可以执行SQL插入更改语句呢?
目前有拿到一个站存在时间延迟注入,mysql数据库并且权限是root权限。目前使用SQL-SHELL无法进行数据库的数据修改。师傅们有什么方法可以执行SQL插入、更改语句呢?目前还有的资源是拖到了整站的备份源码结构,知道管理员账号及密码,整体数据库表结构等等。但是管理后台在内网,无法通过现有手段进入
BurpSuite v2021.10破解版 免Java环境 高速下载(已集成jdk环境 ,已集成注册机)
BurpSuite介绍Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp intruder用于自动对Web应用程序自定义的攻击。它可以用来自动
CS BOF 绕过AMSI在远程过程中与代码注入
前言:上一个帖子确实是我的错,但请大家手下留情{:6_444:} CS BOF 绕过AMSI在远程过程中与代码注入鉴于补偿,我就不收tubi了,这是链接:Github:https://github.com/boku7/injectAmsiBypassCobalt Strike BOF - Inject AMSI BypassCobalt Strike Beacon Object File (BOF) that bypasses AMSI in a remote
php免杀(过D盾、河马)绕assert eval post
php 7.0以上不可使用蚁剑连接 base64编码器<?php #php 7.0以下可用#密码 _POST 蚁剑 base64编码class Foo{ function Variable($c) { $name = 'Bar'; $b=$this->$name(); echo $b; echo "</br>"; echo $c; $b($c); } function Bar() {
大家快来看,这种伪静态网页存在SQL注入吗?
原网页是这样的:在数字前面加个单引号就报错:但是在数字后面加单引号没影响:在加上单引号和其他数字,就相当于单引号后面的都被注释了一样,没影响这种应该如何注入?
大家快来看,这个是远程文件包含吗?我瞅着不像。
他的网站原型是这样的链接,用来判断用户登录的。我输入一个远程图片地址,好像直接用echo 输出乱码了。然后我放了一个exe程序,也给我输出来了。不知道什么原理。接着放一个phpinfo.txt 就没任何反应了。。求大佬解疑惑!
最新版360已经拦截netapi加用户了。
最新版360已经拦截netapi加用户了。源码:#ifndef UNICODE #define UNICODE #endif #include <stdio.h> #include <windows.h> #include <lm.h> #include <iostream>#pragma comment(lib,"netapi32") int Usage(wchar_t*);int wmain(int argc, wchar_t* argv[]){// 定义USER_INFO_1结
showdoc 求思路
showdoc 源码地址https://github.com/star7th/showdoc之前的旧版本有上传漏洞,详见 https://github.com/star7th/showdoc/pull/1059https://www.t00ls.com/thread-56340-1-1.html后来的新版本上传文件都是使用Api里面的控制器,本地测试无果,此程序生产环境都是linux+nginx, 所以能上传phtml不解析,数据
