LNK钓鱼
简介 lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令...
记一次基于 Django 的传销站点渗透
前言 这是一个传销项目,最开始目标用的PHP+MYSQL+THINKPHP搭建的,当时网上找到源码然后审计拿到了后台,getshell实在无力,代码翻烂了都没找到能拿shell的点,所以当时准备给数据分析部门的爬...
ThinkPHPLogScan日志泄露扫描工具
ThinkPHPLogScan 支持tp3和tp5日志泄露文件扫描 项目地址 https://github.com/xsxtw/ThinkPHPLogScan 说明 这算是Safe6武器库的第二个轮子。这个轮子之前用frame写的,由于比较简陋没放出来。最...
burp 验证码识别插件 xp_CAPTCHA V4.1教程
xp_CAPTCHA V4.1(瞎跑-白嫖版) 更新4.1 2022-6-24 大改版,强烈安装新版本 说明 xp_CAPTCHA (白嫖版) 验证码识别 burp插件 支持验证码返回包为json格式 使用 把对应的关键字写在填写验证码处即...
隐藏上传的程序木马
红队技术 - 隐藏上传的程序木马 1、exe 伪装正常程序 https://github.com/secretsquirrel/SigThief python sigthief.py -i 360Safe.exe -t notepad.exe -o tes.exe -i 为签名文件 -t 为需要伪造...
攻防演练 – 某市级教育厅 HW 复盘总结
前言 正如今年的高考题目,学习应从本手开始,把基础打好,才能在实战中打出妙手操作,如果眼高手低,往往会落到俗手的下场 这次攻防演练每个队伍分配不同的目标,有些队伍拿的点可以直接 nday ...
kali工具详细讲解
前言 Kali 系统预装了大量的安全工具,可以说是一个安全工具的数据库。在 kali2018.2 系统中就有 600 多个工具,工具如此之多,掌握所有的工具是不现实的,只有需要用的时候再去学习工具的使用...
宝塔 WAF 最新版未授权访问漏洞,可直接获取后台权限
接上篇文章,继过年前发现宝塔 WAF 后台的命令注入漏洞后,寒假期间闲着无事,过年又不想跑亲戚,又翻了翻宝塔的代码,再一次发现了重大漏洞。 大过年还在看代码真是不容易,宝塔请给我广告费+...
CNVD-2024-02175-MajorDoMo RCE-批量poc
漏洞描述 MajorDoMo是一个开源的智能家居自动化平台,让用户可以通过一个中心控制系统管理各种智能设备和家居设施,该平台在MajorDoMo < 0662e5e版本存在未授权rce漏洞。 资产检索 FOFA: ti...
