随笔分类 - 安全工具
发表于 2023-01-14 22:53阅读:2034评论:0推荐:0
摘要:nmap --script 前言 我们通过nmap script来大幅扩展nmap的功能,nmap具有强大的脚本引擎NSE(Nmap Scripting Engine),它允许用户编写(和共享)简单的脚本(使用lua编程语言)自动化各种网络任务 官方文档 NSEDoc Reference Porta
阅读全文 »
发表于 2023-01-14 22:17阅读:3575评论:1推荐:0
摘要:因为有的网站被攻击之后会被攻击者悄悄挂上暗链,用来提升恶意网站的搜索权重排名,突发奇想看一下暗链扫描工具是咋做的,去github上翻了一下,这次分析Libra 项目地址:https://github.com/rabbitmask/Libra 项目功能:网站篡改、暗链、死链监测平台 这里我们只分析暗链
阅读全文 »
发表于 2022-05-21 16:17阅读:627评论:0推荐:0
摘要:本文首发先知社区:https://xz.aliyun.com/t/11341 Bandit是一个用来检查python代码中安全问题的静态分析工具,它会处理各个各个源代码文件,解析出AST抽象语法树,然后对AST节点运行对应的插件,当Bandit扫描结束后会生成安全报告 项目地址:https://gi
阅读全文 »
发表于 2021-03-15 21:34阅读:2534评论:2推荐:0
摘要:前言 水文 不管是使用--html-output参数还是--json-output参数,其核心都是json形式传递的漏洞详情,html格式只是更方便我们看而已,所以这里对json格式的数据进行分析 目的 方便想要在扫描器中合并xray的朋友整合漏洞报告 扫描目标 testphp.vulnweb.co
阅读全文 »
发表于 2021-02-23 13:48阅读:694评论:0推荐:0
摘要:sqlmap前置发包 在sqlmap检测sql注入点的过程中,会有一系列前置发包,这些前置发包主要包括 网站连通性检测 WAF探测 网页稳定性检测 参数动态性检测 启发式注入检测 误报检测 这里着重于WAF检测源码的分析,但提到WAF探测不得不提到网页相似度对比 网页相似度对比 虽然名字没咋听过,不
阅读全文 »
发表于 2021-02-09 23:36阅读:1691评论:0推荐:0
摘要:简介 sqlmap是一个自动化的SQL注入工具,而tamper则是对其进行扩展的一系列脚本,主要功能是对本来的payload进行特定的更改以绕过waf/ids 可以理解为,sqlmap在对漏洞网站自动化注入的时候,如果我们使用了tamper脚本,sqlmap的每个payload都会经过tamper这
阅读全文 »
发表于 2021-01-27 16:40阅读:550评论:2推荐:2
摘要:起因 如题,一文多发 为什么要一文多发? 最主要的一点就是:获取最大的曝光度 过程 简单举一个例子: 我们写了一篇文章在博客上,现在需要同步发表在简书上,暂时想了三个自动化的办法 编写程序,配置文件存储简书账号密码,每次发表文章的时候自动登录,发表文章部分通过抓包分析数据包,能够把流程自动化写在程序
阅读全文 »
发表于 2020-12-30 17:21阅读:2021评论:0推荐:0
摘要:问题 昨天使用中国菜刀连接靶场shell的时候出现连接被重置的情况 原因 出现这种情况的原因可能是因为: 出口IP被屏蔽 菜刀常见的user-agent被拦截 第二种原因比较常见,尤其是阿里云服务器 解决方法 如果是第一种原因,使用VPN,切换代理即可 如果是第二种原因,修改菜刀user-agent
阅读全文 »
发表于 2020-11-18 20:18阅读:8183评论:0推荐:2
摘要:关于Xray高级版破解: https://www.cnblogs.com/Cl0ud/p/13884206.html 不过好像新版本的Xray修复了破解的BUG,亲测Xray1.3.3高级版仍然可以破解 因为Xray没有批量化的选项,在网上查了一下,fofa2Xray是封装好了的EXE文件,其他的好
阅读全文 »
