网络安全 第8页
XSS社区是网络安全爱好者聚集地
宝塔 WAF 最新版未授权访问漏洞,可直接获取后台权限-XSS博客

宝塔 WAF 最新版未授权访问漏洞,可直接获取后台权限

接上篇文章,继过年前发现宝塔 WAF 后台的命令注入漏洞后,寒假期间闲着无事,过年又不想跑亲戚,又翻了翻宝塔的代码,再一次发现了重大漏洞。 大过年还在看代码真是不容易,宝塔请给我广告费+...
xss-admin的头像-XSS博客xss-admin2年前
020713
Xmind命令执行漏洞复现-XSS博客

Xmind命令执行漏洞复现

Xmind命令执行漏洞复现
xss-admin的头像-XSS博客xss-admin2年前
027613
oss-stinger/腾讯云OSS上线工具-XSS博客

oss-stinger/腾讯云OSS上线工具

oss-stinger/腾讯云OSS上线工具
xss-admin的头像-XSS博客xss-admin2年前
030712
LNK钓鱼-XSS博客

LNK钓鱼

简介 lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令...
xss-admin的头像-XSS博客xss-admin2年前
024612
记一次使用Burpsuite下的插件Turbo intruder进行实战-XSS博客

记一次使用Burpsuite下的插件Turbo intruder进行实战

记一次使用Burpsuite下的插件Turbo intruder进行实战
xss-admin的头像-XSS博客xss-admin2年前
025012
攻防演练 - 某集团红队检测-XSS博客

攻防演练 – 某集团红队检测

外网打点 资产识别 使用 Ehole 快速识别重点资产 链接:https://github.com/EdgeSecurityTeam/EHole Ehole.exe -fofa 检测的域名 寻找口子 1、每个网站可以尝试默认密码或’admin’、1qazxsw2==...
xss-admin的头像-XSS博客xss-admin2年前
022612
三个bypass案例分享-XSS博客

三个bypass案例分享

案例1 文件上传 waf  bypass内容校验+后缀校验 已具备条件:上传处可上传任意类型的文件,但是平台存在waf,直接上传会被拦截 bypass后缀校验 利用原理: 利用服务器解析rfc和waf解析rfc的...
xss-admin的头像-XSS博客xss-admin2年前
017712
PHP Eval() 的危险-XSS博客

PHP Eval() 的危险

远程代码执行的入口 PHP 的 eval() 函数通常被称为 Web 开发中最具争议的功能之一,它是一把双刃剑。一方面,它提供了一种动态执行 PHP 代码的强大方法,但另一方面,它打开了安全漏洞的潘多拉...
xss-admin的头像-XSS博客xss-admin2年前
013612
burp 验证码 识别 插件 xp_CAPTCHA 跑验证码-XSS博客

burp 验证码 识别 插件 xp_CAPTCHA 跑验证码

burp 验证码 识别 插件 xp_CAPTCHA 跑验证码
xss-admin的头像-XSS博客xss-admin2年前
021412
红队技术 - 免杀木马捆绑器分享-XSS博客

红队技术 – 免杀木马捆绑器分享

免杀木马捆绑器分享 在实战钓鱼过程中,常常需要把木马伪装成正常的文件,如果文件运行之后没有任何反应,会引起对方的怀疑 这时候就需要木马捆绑器,释放准备的正常文件,降低对方的戒心,下面...
xss-admin的头像-XSS博客xss-admin2年前
035112