渗透测试常用软件和命令 来源：利刃藏锋 xrayxray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:•检测速度快。发包速度快; 漏洞检测算法高效。•支持范... 2022-8-3 00:1:26 | 阅读: 93 | 收藏 | 橘猫学安全 xray 漏洞 代理 awvs acunetix

神兵利器 | siusiu-渗透工具管理套件 siusiu （suitesuite）一个用来管理 suite 的 suite，志在将渗透测试工程师从各种安全工具的学习和使用中解脱出来，减少渗透测试工程师花在安装工具、记忆... 2022-8-3 00:1:21 | 阅读: 37 | 收藏 | 橘猫学安全 siusiu sqlmap dirsearch 安全 控制

蓝队技战法总结（第一阶段） 0day漏洞防护伪装 、异构、阻断、拦截、诱捕、排查 6步法1、伪装关键应用指纹伪装常用中间件、更改http协议header头的server字段。可将linux改为IIS6.... 2022-8-2 00:3:11 | 阅读: 149 | 收藏 | 橘猫学安全 攻击 攻击者 信息 数据 蜜罐

一款功能全面的XSS扫描器 项目地址https://github.com/s0md3v/XSStrikeXSStrike Wiki • 用法• 常见问题解答• 对于开发人员• 兼容性• 图库XSStri... 2022-8-2 00:3:7 | 阅读: 23 | 收藏 | 橘猫学安全 xsstrike 载荷 信息 sqlmap 注入

网络扫描：扫描方式 转自：计算机与网络安全用户可以使用三种扫描方式来实施网络扫描，分别是主动扫描、被动扫描和第三方扫描。本文分别介绍这三种扫描方式。1. 主动扫描主动扫描就是用户主动发送一些数据... 2022-8-1 00:1:48 | 阅读: 30 | 收藏 | 橘猫学安全 信息 网络 对话框 端口

武装你的burp为你的渗透武器加满弹药 武装你的burp为你的渗透武器加满弹药jython环境https://www.jython.org/download.html官方自带插件：403插件activescanKn... 2022-8-1 00:1:44 | 阅读: 70 | 收藏 | 橘猫学安全 github 信息 jython 渗透 burp

实战 | 一次利用哥斯拉马绕过宝塔waf 作者：鼹鼠Yanshu    原文地址：https://xz.aliyun.com/t/10996这次渗透的主站是 一个Discuz!3.4 的搭建 违法招piao 网站，... 2022-8-1 00:1:41 | 阅读: 90 | 收藏 | 橘猫学安全 php chdir 宝塔 basedir bypass

php-memcached CRLF绕过 在正式讲解前，我们先简单了解下CRLF注入漏洞。在HTTP报文中，状态行和首部中的每行以CRLF结束，首部与主体之间由一空行分隔。而CRLF漏洞的产生则是因为Web应用没有对... 2022-7-31 00:3:10 | 阅读: 16 | 收藏 | 橘猫学安全 memcached crlf 漏洞 注入 snowwolf

BurpCrypto: 万能网站密码爆破测试工具 内容来源：https://github.com/whwlsfb/BurpCryptoBurpCrypto是一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuit插件... 2022-7-31 00:3:6 | 阅读: 33 | 收藏 | 橘猫学安全 加密 模块 cfb ecb

分析Protobuf协议的工具 https://github.com/marin-m/pbtksudo apt install python3-pip git openjdk-9-jre libqt5x11... 2022-7-30 00:3:57 | 阅读: 10 | 收藏 | 橘猫学安全 extractors python3 信息 pyqt5 marin

从0到1完全掌握XXE 作者：Drunkbaby 原文地址：https://www.freebuf.com/articles/web/330086.html前置知识 XML 定义实体XML 实体允许... 2022-7-30 00:3:54 | 阅读: 8 | 收藏 | 橘猫学安全 攻击 payload passwd 注入 ssrf

快速筛选真实IP并整理为C段 -- 棱眼 一、软件介绍Eeyes(棱眼)是之前写的工具，旨在获取到大量域名之后，获取其中真实IP并整理成c段，有助于在src中或红蓝攻防中快速定位目标的真实资产，可结合棱洞使用，识别c... 2022-7-30 00:3:51 | 阅读: 89 | 收藏 | 橘猫学安全 eeyes 信息 ftime 攻击 免杀

十大常见web漏洞 文章来源： https://www.cnblogs.com/yzloo/p/10391067.html一、SQL注入漏洞    SQL注入攻击（SQL Injection）... 2022-7-29 00:1:39 | 阅读: 15 | 收藏 | 橘猫学安全 攻击 漏洞 信息 数据 安全

干货|渗透测试弱口令汇总 作者：mysticbinary项目地址：https://github.com/mysticbinary/weakpass如有侵权，请联系删除推荐阅读XSS 实战思路总结内网信... 2022-7-29 00:1:37 | 阅读: 22 | 收藏 | 橘猫学安全 信息 weakpass 注入 特征性

自动探测端口顺便爆破工具t14m4t t14m4t是一款功能强大的自动化暴力破解工具，并且封装了 THC-Hydra 和 Nmap安全扫描器 。t14m4t可以扫描用户定义的目标主机或包含目标地址的文件列表，以搜... 2022-7-29 00:1:34 | 阅读: 11 | 收藏 | 橘猫学安全 t14m4t 破解 攻击 安全 github

针对容器场景的多功能渗透工具（文末下载） 介绍CDK是一款为容器环境定制的渗透测试工具，在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的 逃逸、横向移动、持久化利用方式，插件... 2022-7-28 00:2:22 | 阅读: 18 | 收藏 | 橘猫学安全 cdk 容器 渗透 github 信息

【神兵利器】Aopo - 内网自动化快速打点工具｜资产探测｜漏洞扫描｜服务扫描｜弱口令爆破 内网自动化快速打点工具｜资产探测｜漏洞扫描｜服务扫描｜弱口令爆破当前功能• ICMP并发探测存活IP• 对A段只进行网关探测• 集成Xray POC扫描• 解析Xray PO... 2022-7-28 00:2:19 | 阅读: 20 | 收藏 | 橘猫学安全 模块 aopo 从文件 xray 信息

8 个 WAF绕过 名称： Cloudflare有效负载： <a"/onclick=(confirm)()>click绕过技术：非空白填充名称： Wordfence负载： <a/href=jav... 2022-7-27 00:2:48 | 阅读: 36 | 收藏 | 橘猫学安全 绕过 d3v onauxclick colon ontoggle

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域） 子域枚举工具，异步dns包，使用pcap 1秒扫描160万个子域ksubdomain是一款基于无状态子域名爆破的工具,支持在Windows/Linux/Mac上使用，它会很快... 2022-7-27 00:2:45 | 阅读: 43 | 收藏 | 橘猫学安全 ksubdomain 爆破 seebug github libpcap

一款适用于红蓝对抗中的仿真钓鱼系统 Goblin 是一款适用于红蓝对抗的钓鱼演练工具。通过反向代理，可以在不影响用户操作的情况下无感知的获取用户的信息，或者诱导用户操作。也可以通过使用代理方式达到隐藏服务端的目... 2022-7-26 00:1:52 | 阅读: 10 | 收藏 | 橘猫学安全 goblin 8084 代理 8083 信息