从hfctf学习JWT伪造
easy_login 简单介绍一下什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的...
利用winrar自解压捆版payload制作免杀钓鱼木马
简介大家在制作捆版木马时碰到一个问题大多捆绑软件本身就会被杀软查杀,即便捆绑两个正常软件也会被查杀。今天给大家分享一个利用winrar实现免杀的捆绑技术。 大家在制作捆版木马时碰到一个问...
ProxyPoolxSocks Socks代理池服务端自动化搭建工具
ProxyPoolxSocks Socks代理池服务端自动化搭建工具 Github项目: https://github.com/xsxtw/ProxyPoolxSocks 声明:本工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈...
Auto Telegram 商业版 v1.3.3.7 完全激活
Auto Telegram 商业版完整激活 电报机器人 如何抓取 Telegram 群组成员? 在 (web.telegram.org)(旧版本)上登录您的 Telegram 帐户 单击要抓取的组 设置您要抓取的用户名数量 单击开始抓取 完...
钓鱼手法及木马免杀技巧
简述 钓鱼是攻防对抗中一种常用的手段,攻击者通常伪装成可信任的实体,例如合法的机构、公司或个人,以引诱受害者揭示敏感信息或执行恶意操作,能快速地撕破目标的伤口进行深入利用,快速进内...
漏洞复现 – 禅道前台注入
漏洞编号 CNVD-2022-42853 禅道企业版 6.5 禅道旗舰版 3.0 禅道开源版 16.5 禅道开源版 16.5.beta1 复现过程 搭建禅道环境,点击 start 运行 访问地址,登录进行抓包 POST /zentao/user-login...
201-A18-xml外部实体注入(XXE漏洞)
PS: 文中 XML 代码用代码框显示会出错,故用黄色标明(格式已做调整可以直接使用) 准备工作: Centos7 主机一台,安装 httpd、php 以及 xml 服务 yum -y install httpd httpd-devel php php-xm...
使用 xp_cmdshell 将基于时间的 SQL 注入升级为 RCE
简单记录一下我们利用 xp_cmdshell 和 PowerShell 编码命令从 SQL 注入获取 RCE 的发现 1.Burpsuite扫描结果 这一切都始于 Burpsuite 扫描的结果,该结果在 上显示了 SQL 注入警报/download/123...
漏洞复现-CVE-2024-32640
一:漏洞名称 Mura CMS processAsyncObject SQL注入漏洞 二:漏洞描述 Mura CMS是一款开源的内容管理系统(CMS),它旨在简化创建和管理网站、博客和应用程序的过程。Mura CMS具有直观的用户界...
