信息收集工具 -- crayfish 一、工具介绍一款力图实现更优美、更快速、更全面的渗透测试信息收集工具。工具特色：子域名收集子域名枚举第三方接口收集BingWebServer 识别端口探活标题提取DNS 解析CDN 识别中间件识别二、... 2022-10-25 08:9:20 | 阅读: 80 | 收藏 | 系统安全运维 crayfish toml 漏洞 利器 windows

CobaltStrike插件 - 绕过防护添加用户 项目地址：https://github.com/crisprss/BypassUserAdd0x01 简介通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现Bypass... 2022-10-24 08:9:3 | 阅读: 55 | 收藏 | 系统安全运维 netuseradd 漏洞 利器 打点 笔记

干货|渗透测试弱口令汇总 作者：mysticbinary项目地址：https://github.com/mysticbinary/weakpass好文推荐红队打点评估工具推荐干货|红队项目日常渗透笔记实战|后台getshell... 2022-10-22 08:31:19 | 阅读: 20 | 收藏 | 系统安全运维 漏洞 利器 神兵 打点

渗透测试扫描器 -- nacs​ 一、工具介绍目前共能主要有：1、探活2、服务扫描(常规&非常规端口)3、poc探测(xray&nuclei格式)4、数据库等弱口令爆破5、内网常见漏洞利用6、常见组件及常见HTTP请求头的log4j漏... 2022-10-22 08:31:17 | 阅读: 27 | 收藏 | 系统安全运维 nacs 漏洞 ssh log4j 爆破

实录一款软件的追码过程，被骗多次 原文链接：https://www.52pojie.cn/thread-1660380-1-1.html转自：Web安全工具库因要做培训，找到一款屏幕教鞭软件，不注册功能都能用，但弹注册窗，觉得很好，所... 2022-10-21 08:10:9 | 阅读: 14 | 收藏 | 系统安全运维 formtoolbar 被骗 信息 利器 漏洞

神兵利器 - SharpEventPersist 通过从事件日志中写入/读取 shellcode 来持久化。SharpEventPersist 工具采用 4 个区分大小写的参数：-file "C:\path\to\shellcode.bin"-ins... 2022-10-21 08:10:6 | 阅读: 29 | 收藏 | 系统安全运维 shellcode 利器 漏洞 persistance 打点

实战 | 一次补天专属SRC中危漏洞 作者：掌控安全学员-astronaut前言犹记某位师傅所说，有活动的地方就有可能出现漏洞，毕竟是新的业务点，本次漏洞也是与厂商搞的活动有关纪实经过信息收集，发现其推出了众测活动，类似于0元试用，这无伤... 2022-10-20 08:9:43 | 阅读: 23 | 收藏 | 系统安全运维 绕过 漏洞 安全 攻击者 拦截

渗透测试岗位-武装你的BURP 第一款BURP插件评测 Domain Hunter Pro v1.3在这款插件很好的补充了BURP的域名收集问题，让你的BURP更加强大，更加系统的收集项目内的域名和子域名扩大域名资产，增加攻击面。第... 2022-10-20 08:9:41 | 阅读: 23 | 收藏 | 系统安全运维 burp 漏洞 利器 神兵 打点

深入分析ISC BIND服务器中的信息泄露漏洞 近期，研究人员在ISC BIND服务器中发现了一个漏洞，该漏洞存在于Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) 组件中，影响9... 2022-10-19 08:9:18 | 阅读: 13 | 收藏 | 系统安全运维 漏洞 mech spnego gss

2022 年最佳 SQL 注入检测工具 SQL 注入 (SQLi) 是一种可以访问敏感或私有数据的隐蔽攻击形式，它们最早是在上世纪末被发现的，尽管它们的年龄很大，但它们经常被用作黑客工具包中的一种有效技术。今天，给大家介绍一下顶级 SQLi... 2022-10-19 08:9:13 | 阅读: 46 | 收藏 | 系统安全运维 漏洞 数据 注入 数据库 攻击

CVE-2022-23222：Linux 内核 eBPF 本地权限提升 https://github.com/tr3ee/CVE-2022-23222    近期在对Linux eBPF进行代码审计的过程中，发现了一枚权限提升漏洞CVE-2022-23222。    此漏... 2022-10-18 08:10:24 | 阅读: 23 | 收藏 | 系统安全运维 ebpf 漏洞 verifier btf scalar

实战 | 记一次对某鱼骗子卖家的溯源 我有一个朋友，去某鱼找游戏DL,因为仓库没有设密码,导致让DL把他贵重的游戏装备给转走了，朋友十分生气，当天就报了案。在苦苦等待了半个月之后，案件依然没有进展。于是他找到了我，一名卑微的安服仔。嘴里还... 2022-10-18 08:10:21 | 阅读: 26 | 收藏 | 系统安全运维 信息 漏洞 利器 打点 挨个

端口爆破工具 -- PortBrute 一、简介一款跨平台小巧的端口爆破工具，支持爆破FTP/SSH/SMB/MSSQL/MYSQL/POSTGRESQL/MONGOD。二、使用方法 1、ip.txt中放入需要爆破的ip+端口，比如 10.... 2022-10-17 08:9:6 | 阅读: 16 | 收藏 | 系统安全运维 漏洞 端口 爆破 利器 打点

从云服务器 SSRF 漏洞到接管你的阿里云控制台 文章首发于：火线Zone社区（https://zone.huoxian.cn/）0x00 前言本文将以阿里云为例，对云服务中的一些攻防手法进行演示，首先利用 Terraform 进行 ECS SSRF... 2022-10-17 08:9:3 | 阅读: 45 | 收藏 | 系统安全运维 ssrf 数据 aliyun 靶场 ecs

如何快速构建Prometheus监控体系，架构、指标、数据、告警… Prometheus发展到今天，已经全面接管了 K8s 上的监控体系，形成了一套以它为核心的统一方案，但监控依然是云原生领域非常让人头疼的问题之一。一方面是因为监控非常重要，直接关系到应用的高效、平稳... 2022-10-17 08:8:58 | 阅读: 15 | 收藏 | 系统安全运维 监控 困惑 集群 课件 编程

这些Shell分析服务器日志命令集锦，收藏好了~ 自己的小网站跑在阿里云的 ECS 上面, 偶尔也去分析分析自己网站服务器日志,看看网站的访问量。看看有没有黑阔搞破坏！于是收集，整理一些服务器日志分析命令，大家可以试试！1、查看有多少个IP访问：aw... 2022-10-15 08:8:57 | 阅读: 7 | 收藏 | 系统安全运维 nf wc php rn counts

记对某系统的一次测试 文章来源：先知社区（小白白兔）原文地址：https://xz.aliyun.com/t/114510x01 前言第一次写文章，有不足的地方请各位师傅指正0x02 确定站点首先通过前期的信息收集得到了站... 2022-10-15 08:8:52 | 阅读: 12 | 收藏 | 系统安全运维 爆破 漏洞 账号 全站

渗透测试之突破口 | 常见打点及漏洞利用 目录web服务突破 一些存在问题的逻辑 JWT攻击手法 注入 XSS CSRF php任意文件读取/下载 php文件包含 XML 命令注入 Xpath注入 SSRF 命令执行... 2022-10-15 08:8:45 | 阅读: 36 | 收藏 | 系统安全运维 php 250d 6379 250a 注入

什么是镜像？端口镜像、VLAN镜像、MAC镜像、流镜像等，一文带你了解 前言镜像功能主要用于网络检测和故障管理，可能涉及使用个人用户某些通信内容。本公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容... 2022-10-14 08:10:51 | 阅读: 8 | 收藏 | 系统安全运维 镜像 端口 vlan 远程 huawei

一款手机配置信息检测小工具，简单直观 DevCheck正式版 下载链接：https://pan.baidu.com/s/10Hrj4UKkPKTiSfMKdj7quw提取密码：fzna（复制下载链接粘贴到浏览器网址栏中打开）软件名称：De... 2022-10-14 08:10:42 | 阅读: 12 | 收藏 | 系统安全运维 信息 利器 漏洞 打点