网络安全 第22页
XSS社区是网络安全爱好者聚集地
隐藏上传的程序木马-XSS博客

隐藏上传的程序木马

红队技术 - 隐藏上传的程序木马 1、exe 伪装正常程序 https://github.com/secretsquirrel/SigThief python sigthief.py -i 360Safe.exe -t notepad.exe -o tes.exe -i 为签名文件 -t 为需要伪造...
xss-admin的头像-XSS博客xss-admin1年前
010111
攻防演练 - 某集团红队检测-XSS博客

攻防演练 – 某集团红队检测

外网打点 资产识别 使用 Ehole 快速识别重点资产 链接:https://github.com/EdgeSecurityTeam/EHole Ehole.exe -fofa 检测的域名 寻找口子 1、每个网站可以尝试默认密码或’admin’、1qazxsw2==...
xss-admin的头像-XSS博客xss-admin1年前
020012
三个bypass案例分享-XSS博客

三个bypass案例分享

案例1 文件上传 waf  bypass内容校验+后缀校验 已具备条件:上传处可上传任意类型的文件,但是平台存在waf,直接上传会被拦截 bypass后缀校验 利用原理: 利用服务器解析rfc和waf解析rfc的...
xss-admin的头像-XSS博客xss-admin1年前
014312
记一次梦里渗透某鱼诈骗站到挖掘通用day-XSS博客

记一次梦里渗透某鱼诈骗站到挖掘通用day

记一次梦里渗透某鱼诈骗站到挖掘通用day
xss-admin的头像-XSS博客xss-admin12个月前
02166
PHP Eval() 的危险-XSS博客

PHP Eval() 的危险

远程代码执行的入口 PHP 的 eval() 函数通常被称为 Web 开发中最具争议的功能之一,它是一把双刃剑。一方面,它提供了一种动态执行 PHP 代码的强大方法,但另一方面,它打开了安全漏洞的潘多拉...
xss-admin的头像-XSS博客xss-admin11个月前
010312
基于ProxyPool创建Proxifier代理配置文件-XSS博客

基于ProxyPool创建Proxifier代理配置文件

基于ProxyPool创建Proxifier代理配置文件
xss-admin的头像-XSS博客xss-admin1年前
011715
burp 验证码 识别 插件 xp_CAPTCHA 跑验证码-XSS博客

burp 验证码 识别 插件 xp_CAPTCHA 跑验证码

burp 验证码 识别 插件 xp_CAPTCHA 跑验证码
xss-admin的头像-XSS博客xss-admin1年前
016412
红队技术 - 免杀木马捆绑器分享-XSS博客

红队技术 – 免杀木马捆绑器分享

免杀木马捆绑器分享 在实战钓鱼过程中,常常需要把木马伪装成正常的文件,如果文件运行之后没有任何反应,会引起对方的怀疑 这时候就需要木马捆绑器,释放准备的正常文件,降低对方的戒心,下面...
xss-admin的头像-XSS博客xss-admin1年前
020812
Ubuntu快速安装MSF的命令-XSS博客

Ubuntu快速安装MSF的命令

1、这个官方安装脚本,我们只需要运行一下就行了 curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb >...
xss-admin的头像-XSS博客xss-admin1年前
03437
在没有源 IP 发现的情况下绕过 Cloudflare 的 SQL 注入过滤器!-XSS博客

在没有源 IP 发现的情况下绕过 Cloudflare 的 SQL 注入过滤器!

在这个项目中,我最初的方法是尝试通过发现网站的原始 IP 来绕过 WAF (Cloudflare)。当这被证明不成功时,我深入研究了 WAF 绕过技术并找到了解决方案。 由于特定的“www.XYZ.ac.in”网站容易受...
xss-admin的头像-XSS博客xss-admin1年前
030114