随手测试了下，是个注入，于是就打算丢到了sqlmap里面。 可是sqlmap却是抽了疯是的。 看着情况，也不是一时半会能有结果。 于是闲着也是闲着，手工测试一波。 人品常伴我身。root权限。 看到roo...

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口进行深入利用，快速进内...

无线程Shellcode注入技术解析 在网络安全的攻防博弈中，随着传统进程注入技术逐渐被EDR（终端检测与响应）工具所拦截，攻击者必须寻找新的方法来实现无痕入侵。本文将深入探讨一种名为无线程She...

社工钓鱼细节技巧 钓鱼对象 1、hr、经理、财务 等安全意识薄弱的人，避开信息安全部 如何搜集邮箱信息？ https://app.snov.io/ 但一般来说，企业邮箱都存在邮服网关，邮件很难投递，所以我们要...

github 地址： https://github.com/sleeyax/burp-awesome-tls 需要高版本 17 + 的 burp 运行插件，可 bypass 网站流量设备的检测，正常抓包 未使用插件前，burp 指纹特征被识别，抓包被拦截 使...

工具开发 - 红队免杀木马自动生成器 开发目的 在攻防对抗中，免杀木马是使用频率最高的东西，但是制作起来需要耗费大量时间精力，重复性工作会让人产生疲惫和厌烦 于是我决定开发一款全自动的工...

首先使用常规的目录扫描，无法正常扫描出东西 使用代理池低速扫描成功发现 robots.txt 访问 / SiteServer / 跳转至登陆页面，谷歌一波发现历史漏洞，直接禁用 js 可重置密码 免杀 webshell 使用...

外网打点 资产测绘三剑客 https://hunter.qianxin.com/https://fofa.info/https://quake.360.cn/ 挖掘高价值资产 https://github.com/EdgeSecurityTeam/EHole ehole 重构了一版，需要下载 sourc...

红队技术 - 隐藏上传的程序木马 1、exe 伪装正常程序 https://github.com/secretsquirrel/SigThief python sigthief.py -i 360Safe.exe -t notepad.exe -o tes.exe -i 为签名文件 -t 为需要伪造...

go shellcode 加载 bypass AV 在攻防实战中免杀技术尤为重要，站在巨人的肩膀上学习 go shellcode 免杀加载的方法 相关代码打包至 github https://github.com/Pizz33/GobypassAV-shellcode...