“为共产主义事业奋斗终身”
唯物辩证法认为事物发展的前途是光明的,道路是曲折的,新事物必将战胜旧事物
app测试-Proxifier突破代理&&xp框架突破证书-突破虚拟检测 app测试-Proxifier突破代理&&xp框架突破证书-突破虚拟检测
## 0x00 简介 前期的抓包介绍到了使用脚本通杀代理证书的限制,但是需要抓取到wireshark分析,今天介绍:1、使用proxifier突破模拟器的本地代理限制,2、使用xp框架突破证书限制,实现联动bp抓取http协议数据包,3、
app测试-提取-测试框架-反证书抓包 app测试-提取-测试框架-反证书抓包
## 0x00 app测试 APP渗透测试和Web渗透测试基本没有区别。APP(应用程序,Application),一般指手机软件。一个网站存在SQL注入,用PC端浏览器去访问存在SQL注入漏洞,用手机浏览器去访问一样也存在SQL注入漏洞
渗透测试-应用协议安全Rsync&SSH&RDP&FTP 渗透测试-应用协议安全Rsync&SSH&RDP&FTP
## 0x00 简介 在渗透测试中的信息收集的环节,对于端口的探针是一个重点关注的地方,不同的端口会有代表的不同的协议传输的服务,而对于这些一些常见的服务端口,我们需要对其进行的渗透测试做一个简要的汇总尝见的服务端口: 0x01 口令爆破
2022-05-05
python安全开发-子域名爬取&ftp爆破 python安全开发-子域名爬取&ftp爆破
## 0x00 子域名爬取 import requests import time import queue from lxml import etree def baiud_get(): while not q.empty()
2022-05-02
python安全开发-多线程目录扫描&端口扫描&子域名爆破 python安全开发-多线程目录扫描&端口扫描&子域名爆破
## 0x00 多线程目录扫描 import sys import os import tarfile import wsgiref.validate import requests import threading import ti
2022-05-02
python安全开发-rce命令执行&请求测试&豆 ban的信息爬取 python安全开发-rce命令执行&请求测试&豆 ban的信息爬取
## 0x00 HFS的命令执行 import requests url_add="/?search==%00{.exec|cmd%20/c%20net%20user%20bbbbb%20123%20/add.}" url="http:/
2022-05-02
api接口安全测试-Wsdl&Swagger&Webpack api接口安全测试-Wsdl&Swagger&Webpack
## 0x00 api接口介绍 通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露
记一次hw真实溯源笔记思路 记一次hw真实溯源笔记思路
## 0x00 第一次信息收集 获取攻击IPIP反查定位(考虑是否为代理)IP资产探测(masscan+nmap)、在线端口探测等IP web的指纹识别等信息收集 0x01 尝试获取getshell提权根据获取的资产信息,进行渗透(awv
2022-03-14
log4j2漏洞复现(附docker靶场环境) log4j2漏洞复现(附docker靶场环境)
## 0x00 log4j2 简介 log4j2是log4j的升级版本,基于java的日志框架,在java项目中被大量的引用,当用户输入数据被记录于日志中,攻击者可通过构造特殊请求,造成JNDI注入,来触发log4j达到命令执行,JNID
Fastjson v 1.2.47反序列化漏洞 Fastjson v 1.2.47反序列化漏洞
## 0x00 fastjson简介 fastjson是常用于解析java中的数据,将对象解析为json格式,被广泛应用于各大java项目中,首先爆出1.2.24反序列化rce,后增加了反序列化白名单的机制,不久在1.2.47版本中又被发
1 / 11