实战|一次绕过waf进行xss的经历 今天室友遇到一个好玩的网站，下面是一些尝试绕过Waf进行XSS的记录。首先该网站没有对左右尖号和单双引号做任何过滤或转义。且有未知的waf或者其他阻止恶意访问的手段。首先我的访问为 login.asp... 2023-1-6 08:10:46 | 阅读: 31 | 收藏 | 系统安全运维 利器 漏洞 绕过 神兵 x72

【神兵利器】内存马生成器 -- msmap​ 0x01 工具介绍Msmap是一个内存马生成器，兼容多种容器、组件、编码器、WebShell / Proxy / Killer 和管理客户端。本文中涉及到的所有操作均得到了客户单位的授权，并且在漏洞修... 2023-1-6 08:10:43 | 阅读: 19 | 收藏 | 系统安全运维 注入 编码器 漏洞 aes128 antsword

WEB渗透测试中SQL注入那点事 概述原理注入条件SQL注入一般步骤1.注入点的种类解析 1.1 按注入点参数的类型分类 1.2 按照数据请求方式来分类2.联合查询注入（union）3.盲注 3.1 报错盲注 3.2 布尔盲注... 2023-1-5 08:10:22 | 阅读: 16 | 收藏 | 系统安全运维 注入 数据 数据库 信息 绕过

推荐一款比Nmap扫描快好几倍的端口扫描工具 -- TXPortMap 项目作者：4dogs-cn项目地址：https://github.com/4dogs-cn/TXPortMap排版：释然IT杂谈一、软件介绍：在渗透测试的端口扫描阶段，相信很多人遇到的问题是nmap太... 2023-1-5 08:10:19 | 阅读: 37 | 收藏 | 系统安全运维 txportmap 端口 渗透 利器 漏洞

利用DNS实现SQL注入带外查询（OOB） 根据用于数据检索的传输信道，SQLi可分为三个独立的类别：inference（经典SQL注入）,inband（盲注、推理注入、带内注入）和out-of-bandout-of-band带外数据（OOB）... 2023-1-4 08:10:12 | 阅读: 27 | 收藏 | 系统安全运维 数据 unc windows 注入 priv

onlinetools - 一款线上工具箱，收集整理了一些渗透测试过程中常见的需求 这是一款线上工具箱，收集整理了一些渗透测试过程中常见的需求现在已经包含的功能有：在线cms识别|信息泄露|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取git clone htt... 2023-1-4 08:10:8 | 阅读: 24 | 收藏 | 系统安全运维 onlinetools github 漏洞 iceyhexman 利器

记一次web登录通杀渗透测试 记一次web登录渗透在渗透测试过程中，碰见的web登录页面特别多，那么我们应该用什么样的思路去进行一个测试呢，下面看看我的一些测试师思路ba测试思路当看见一个这样的web登录框时，会怎么样进行一个渗透... 2023-1-3 08:10:58 | 阅读: 22 | 收藏 | 系统安全运维 爆破 账号 渗透 利器 漏洞

Burp Suite —验证码识别、切换IP 作者：掌控安全——JARVIS如果你还是小白看不懂没关系，可以先收藏，之后会用到的！burp是学渗透必须要会的一个工具，其从安装到运用有相关的视频，可文末扫码领取.前言Burp Suite是一个集成化... 2023-1-3 08:10:55 | 阅读: 34 | 收藏 | 系统安全运维 代理 burp messageinfo 渗透 脚本

神兵利器 | 分享个内存马生成器兼容多种容器、组件···（附下载） 0x01 工具介绍Msmap是一个内存马生成器，兼容多种容器、组件、编码器、WebShell / Proxy / Killer 和管理客户端。本文中涉及到的所有操作均得到了客户单位的授权，并且在漏洞修... 2023-1-2 16:21:57 | 阅读: 25 | 收藏 | 系统安全运维 编码器 注入 aes128 漏洞 valve

滴----体温正常 请进入 2023 系统安全运... 2023-1-1 08:6:7 | 阅读: 8 | 收藏 | 系统安全运维 安全 体温 如意 高升

Windows主机和ubuntu互传文件的4种方法 我的 [ubuntu] 系统是安装在 VMware 虚拟机中的，两者之间经常要互传文件，下面介绍 4 种常用的互传文件方法。1. 共享文件夹方式互传在[虚拟机]中需要开启共享文件夹的功能。首先虚拟机中... 2022-12-31 08:42:29 | 阅读: 22 | 收藏 | 系统安全运维 samba 共享 windows 互传 filezilla

appsmith，一个开源的低代码构建平台 appsmith，一个开源的低代码构建平台，可对接各类数据源，帮你快速搭建管理后台、开发工具、企业 CRM 系统等各类项目。拥有多人协作、私有服务器部署、可视化 UI 组件等功能，并且搭配了特性丰富的... 2022-12-31 08:42:26 | 阅读: 17 | 收藏 | 系统安全运维 漏洞 利器 神兵 github 打点

一款src捡洞扫描器 前言一款src捡洞扫描器，因没时间挖src，毕竟挖src是个费时费力的活，自19年8月起入坑至今，依靠 BBScan 扫描出的信息和漏洞，利用业余时间从扫描报告中的资产捡洞和找洞，已经3次jd月度前十... 2022-12-31 08:42:23 | 阅读: 23 | 收藏 | 系统安全运维 漏洞 信息 扫描器 利器 安全

分享 | 蓝队必备超详细溯源技术整理 原文地址：https://www.freebuf.com/fevents/334657.html背景：授权授权攻防演练过程中，攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括：侦察、武器化、交... 2022-12-30 08:8:52 | 阅读: 28 | 收藏 | 系统安全运维 攻击 信息 攻击者 数据 溯源

一款功能强大的SQL注入漏洞扫描工具 Jeeves是一款功能强大的SQL注入漏洞扫描工具，在该工具的帮助下，广大研究人员可以轻松通过网络侦查等方式来寻找目标应用程序中潜在的基于时间的SQL盲注漏洞。关于盲注盲注分为两类：1、布尔盲注：布尔... 2022-12-30 08:8:49 | 阅读: 60 | 收藏 | 系统安全运维 jeeves payload php qsreplace vulnweb

态势感知的认识与理解【超详细】 网络安全态势感知主要包括提取、理解和预测。1、提取态势感知始于提取，提取环境内相关要素的状态、属性和动态等信息，并将信息归入各种可理解的表现方式，为理解和预测提供素材。准确、全面地提取网络中的安全态势... 2022-12-29 08:10:9 | 阅读: 28 | 收藏 | 系统安全运维 网络 信息 安全 数据

一款精简的webshell管理工具 -- Assassin 一、工具介绍Assassin是一款精简的基于命令行的webshell管理工具，它有着多种payload发送方式和编码方式，以及精简的payload代码，使得它成为隐蔽的暗杀者，难以被很好的防御。工具短... 2022-12-29 08:10:6 | 阅读: 32 | 收藏 | 系统安全运维 assassin payload base36 利器 漏洞

DataOps指南：数据治理新时代来了？ 作者 | Mir Ali译者 | Sambodhi策划 | 凌敏DataOps 不只是一种开发方法。它利用民主化的访问和巨大的潜力，彻底改变了组织使用数据的方式。最近，一项针对企业面临大数据挑战的 调... 2022-12-28 08:11:7 | 阅读: 9 | 收藏 | 系统安全运维 数据 dataops 洞察力 相关者 自动化

一款被动测试sql注入点的bp插件 项目地址作者：smxiazi地址：https://github.com/smxiazi/xia_sql本插件仅只插入单引号，没有其他盲注啥的，且返回的结果需要人工介入去判断是否存在注入，如果需要所有注... 2022-12-28 08:11:3 | 阅读: 25 | 收藏 | 系统安全运维 payload 单引号 数据 proxy 注入

一款红队快速指纹信息识别工具 0x00 项目地址https://github.com/s7ckTeam/Glass0x01 截图0x02 效果1.本地识别： 2.fofa识别：如有侵权，请联系删除推荐阅读实战|记一次奇妙的文件上传... 2022-12-27 08:10:12 | 阅读: 31 | 收藏 | 系统安全运维 爆破 渗透 手把手 子域 github