渗透实战|记一次微信小程序渗透测试 一.前言基本情况这是之前挖一个小程序的漏洞，多次尝试后，最后后台拿到shell，厂商已修复，大概说下整体思路和挖掘过程。二.挖掘过程信息收集-文件上传失败-SQL注入(非DBA)-小程序后台-文件上传... 2022-12-9 11:56:9 | 阅读: 25 | 收藏 | 藏剑安全 注入 账号 信息 模块 绕过

斗象BAS DayBreak 破晓安装使用 DayBreak 介绍一、简介Breach and Attack Simulation (BAS) , 可以翻译成入侵和攻击模拟，入侵理解为自动化渗透测试，攻击模拟包含两个方面一个是对人员的测试，如钓... 2022-12-2 11:17:22 | 阅读: 31 | 收藏 | 藏剑安全 信息 端口 daybreak 代理 nserver

二孃食品 四川自贡特产冷吃兔优惠来袭啦！二孃食品上新春礼盒装啦，祝各位兔年吉祥，在2023年扬眉兔气，前兔无量势不可挡！  礼盒内均赠送金蝶子，祝大家在新的一年里财源广进金蝶子如下图：店内还有冷吃兔，麻辣鸭脖，... 2022-12-2 11:17:18 | 阅读: 17 | 收藏 | 藏剑安全 麻辣 神仙 金蝶 礼盒 零食

SeaCms 代码审计getshell 声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系刘一手。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果... 2022-11-24 15:15:0 | 阅读: 17 | 收藏 | 藏剑安全 filedir php showmsg filetype templets

学习札记-脚本木马的静态启发查杀 脚本木马样本的静态启发查杀找出下载者木马链接的网站运行样本文件通过process explore监测，找出所以来运行的PE类利用OD下断点 bp UrlCanonicalizeA/W找到下载链接对混淆... 2022-11-21 11:9:36 | 阅读: 15 | 收藏 | 藏剑安全 c6 download orifile getsize

云安全｜子域名接管漏洞 漏洞原理子域名接管漏洞，简单来说通过该漏洞可以接管目标子域名，让其显示我设置的页面，主要用于网络钓鱼、如伪造钓鱼页面，还可以利用其盗取Cookie，伪造电子邮件等。其原理为曾经为了使用某个域名实现某个... 2022-11-21 11:8:25 | 阅读: 31 | 收藏 | 藏剑安全 haochen1204 github 漏洞 cname hostid

利用Shellter免杀过360、电脑管家 利用Shellter免杀过360、电脑管家Shellter 是一个 shellcode 注入工具。它有效地重新编码有效负载（此处为外壳代码）以绕过防病毒（AV）软件。Shellter已被证明是Wind... 2022-11-16 11:20:34 | 阅读: 40 | 收藏 | 藏剑安全 shellter shellcode 免杀 windows 隐身

利用DNS上线CS及流量分析 刚刚学习了GO的DNS代理服务器编写，这个服务器本来是用来隐藏CS的，但是由于跟着书上的实验没成功，就在本地环境真实的测试了一下我们真实情况下使用DNS上线CS的方法，并且简单分析了其流量特征。域名配... 2022-11-16 11:20:29 | 阅读: 27 | 收藏 | 藏剑安全 流量 上线 木马 阿里 漫长

经过实战打磨内网自动化引擎-gogo 介绍 0x00 repo项目链接本体: https://github.com/chainreactors/gogo规则库: https://github.com/chainreactors/gogo-tem... 2022-11-16 11:20:21 | 阅读: 38 | 收藏 | 藏剑安全 gogo 爆破 zombie 漏洞 自动化

自用渗透测试工具推荐 前言工欲善其事必先利其器，一款好用的工具能大大提升你的渗透效率常用的工具表单名称描述项目地址fofa_viewer一个简单实用的FOFA客户端https://github.com/wgpsec/fof... 2022-11-6 11:0:36 | 阅读: 17 | 收藏 | 藏剑安全 github 渗透 漏洞 汉化 加密

零基础学go GO黑帽子学习笔记-5.1 DNS子域名爆破工具详解 零基础学go我们在渗透测试的时候，DNS是我们不可或缺的，我们对于许多漏洞的探测都需要使用到DNSlog。而且DNS还能用来帮助我们隐藏CS或者信息收集时收集子域名信息等等。所以本次我们就来完成一个D... 2022-11-6 11:0:29 | 阅读: 20 | 收藏 | 藏剑安全 fqdns serveraddr chan cfqdn 数据

Vulnhub之jangow打靶思路 1.  打靶思路总结信息收集-命令执行-getshell-FTP登陆-不出网反弹shell-ptyshell-SSH登陆-dirtycow提权，最终拿到root权限，获取Flag。* 攻击机：Kali... 2022-11-6 11:0:25 | 阅读: 13 | 收藏 | 藏剑安全 信息 php 端口 账号

顶象特别策划 | 2022双十一业务安全保卫战即日启动 各位白帽黑客们，来一场酣畅淋漓的正义守卫战吗？话不多说，各位白帽黑客们还不快来接下这个号召令！1、报名通道活动期间，参赛者可扫描下方二维码或通过以下链接在顶象安全应急响应中心报名：https://ww... 2022-11-2 10:32:24 | 阅读: 12 | 收藏 | 藏剑安全 漏洞 安全 威胁 风险 信息

渗透实战|两个0day漏洞挖掘案例 一.前言基本情况这是之前挖到的两个0day，都拿了CNVD的证书，厂商已修复，大概说下整体思路和挖掘过程挖掘过程绕过登陆（无效）-发现接口-JS审计-爆破接口-未授权访问-SQL注入二.打点收集1.失... 2022-11-1 20:44:47 | 阅读: 28 | 收藏 | 藏剑安全 信息 后边 爆破 asas xxxxx

沈阳深蓝2022年度HW项目总结 各位好！当前本年度的HW工作已结束，沈阳深蓝于今日已将面向个人、下游供应商、外部专家等外协费用及内部项目奖金全额结算完毕。故在此作出年度工作总结，分三点向安全圈的朋友们汇报。一、 制度部... 2022-10-26 14:3:30 | 阅读: 36 | 收藏 | 藏剑安全 沈阳 深蓝 安全 签约 签署

什么？你还不会webshell免杀？（十） read file error: read notes: is a directory... 2022-10-20 10:57:8 | 阅读: 37 | 收藏 | 藏剑安全 免杀 xsl xmldecoder transformer 漏洞

零基础学go—GO黑帽子学习笔记-4.1 HTTP服务器基础 一个简单的服务器package mainimport ("fmt""net/http")func hello(w http.ResponseWriter, r *http.Request) {f... 2022-10-20 10:57:5 | 阅读: 26 | 收藏 | 藏剑安全 中间件 negroni username mux

炽热如初 向新而生｜ISC2022 HackingClub白帽峰会圆满举办！ //  8月2日，由ISC2022互联网安全大会和HackingClub安全技术社区联合举办的ISC2022 HackingClub白帽峰会在N世界平台顺利召开。查看回放... 2022-8-4 20:55:57 | 阅读: 19 | 收藏 | 藏剑安全 安全 网络 漏洞 hackingclub 攻防

紧急更新-火花字典生成器V1.2版本 前言因为bug问题,表哥催更～1存在的bug存在v1.1版本:1.因为要手动配置ini文件,因为格式问题导致闪退。2.因为A列表更新规则,导致无法支持字符,只支持中文.3.A... 2022-8-1 11:15:27 | 阅读: 20 | 收藏 | 藏剑安全 修复 免责 表哥 最新版

2022HW-7.30情报整理 免责声明由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如... 2022-8-1 11:15:24 | 阅读: 81 | 收藏 | 藏剑安全 漏洞 攻击 攻击者 数据