鱼叉攻击|Mail-Probe 邮箱探针后台管理系统 好的鱼竿和诱饵固然重要，但真正把鱼儿和渔夫联系起来的是小小的浮漂。 效果预览 平常去河边钓鱼，要使用浮漂才会知道这条河是否有鱼吃饵料，同理当...

软件及工具介绍: Windows App: WSL2 Kali Linux 2024.1 Windows Terminal TranslucentTB 渗透测试: 常用的Python、C#、Java等 工具均配有 start.bat 或 start.vbs 快捷启动方式 [+] 人工智...

哥斯拉webshell二次开发规避流量检测设备 二开详细教程在微信公众号：艾克sec目前测了国内两安全厂商的态感，连接和执行命令无告警现在改了php和java的，后续尽快新增net的java，net，php 流量...

一次工作摸鱼的时候，找到一个博彩站点，看了一眼主站有waf显然打不通，结果在找其他资产的时候发现一个 '老破站' 。 找到它后台爆破的时候发现shiro反序列化，这不是直接一键getshll吗？（有手...

前面有用到fofa的空间测绘获取酒店源和组播源，今天试试钟馗之眼来获取酒店源： 利用工具网络测绘：钟馗之眼（https://www.zoomeye.org/） 一、酒店源获取 首先需要找到有效的酒店源IP，其次在...

Q&A 为什么我们需要白加黑这种攻击方法呢？ 答：无论是分离免杀还是捆绑上线的免杀方式早已被研究员们每天推演成千上万遍了，像CS这类主流的C2工具的yara规则早就被各大安全厂商研究透了，...

制作lnk上线技巧 思路 1.将.gif后缀图片，木马exe、xx.pdf按偏移量写入进一个gif图片中，这里合成为pic.gif 2.使用lnk链接wscript指向执行pic.gif按偏移量取出木马exe、xx.pdf先后执行。 3.钓鱼...

在 PDF 文件中进行注入，如果网站没有进行必要的检查，我们就有一个存储的 XSS 漏洞。网上搜索没找到简单的XSS PDF。所以我决定实现一个 JavaScript 。此 JavaScript 将 JavaScript 代码嵌入到 ...

简单记录一下我们利用 xp_cmdshell 和 PowerShell 编码命令从 SQL 注入获取 RCE 的发现 1.Burpsuite扫描结果 这一切都始于 Burpsuite 扫描的结果，该结果在 上显示了 SQL 注入警报/download/123...

支持的令牌：HTTP、DNS、Web 图像、克隆网站、Adobe PDF、MS Word、MS Excel、MySQL 转储、Windows 目录、自定义 EXE、QR 代码、敏感命令、SVN、AWS API 密钥、快速重定向、慢速重定向、SQL服务...