摘要:
两个影响 WPS Office 的任意代码执行漏洞分析,CVE-2024-7262 和 CVE-2024-7263 前言 ESET 研究人员在 WPS Office for Windows 中发现了一个代码执行漏洞 (CVE-2024-7262),因为它被与韩国结盟的网络间谍组织 APT-C-60 阅读全文
摘要:
CTF-OS,一个专门为CTF设计的操作系统 前言 CTF-os是探姬为CTF比赛特制的虚拟机,封装多版本工具集与系统,适合CTF新手、各行业人士及安全工作者使用,尤其适合不愿在工作机安装特殊软件的用户。注意,CTF不同于渗透测试,本虚拟机专为CTF赛事人员定制。 如果你也想学习CTF那么我特意准备 阅读全文
摘要:
Win11综合渗透系统,第二个”kali“武器库——文末抽黑神话 Windows11 Penetration Suite Toolkit是基于Win11的渗透测试环境,通过scoop管理和安装,支持Kali WSL环境。内含脚本工具和在线安全工具,需用户手动安装依赖包,部分工具需特殊网络。离线知识库 阅读全文
摘要:
网易云JS逆向分析 前言 本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关,若有侵权,请联系我立即删除! 阅读本篇文章,需要一定的爬虫基础,和js逆向思维,否则无法继续 首先找到一个歌单 找到这个api接口 api传参为这两个 找到启动器 发现这两个参 阅读全文
摘要:
你还敢随便点陌生邮件链接吗,浅谈黑客是如何利用SPF机制进行邮件钓鱼的 SPF介绍 spf是一种用于防止电子邮件伪造得技术,旨在确保只有授权的发送者才能适用特定的域名发送电子邮件,它也是邮件系统的一种安全机制,它的内容被写入DNS的TXT类型记录中。通过SPF记录,域名所有者可以指定哪些IP地址或服 阅读全文
摘要:
Docker逃逸CVE-2019-5736、procfs云安全漏洞复现,全文5k字,超详细解析! Docker容器挂载 (伪文件系统)procfs 逃逸 procfs是展示系统进程状态的虚拟文件系统,包含敏感信息。直接将其挂载到不受控的容器内,特别是容器默认拥有root权限且未启用用户隔离时,将极大 阅读全文
摘要:
CISP-PTE综合靶场解析,msf综合利用MS14-058【附靶场环境】 前言 需要靶场的朋友们,可以在后台私信【pte靶场】,有网安学习群,可以关注后在菜单栏选择学习群加入即可 信息收集 题目要求:给定一个ip,找到3个KEY。 nmap扫描,为了节省时间,这里改了端口,就不使用-p-全端口扫描 阅读全文
摘要:
cisp-pte考试靶场及通关攻略(附靶场源码) 靶机安装 关注后回复【pte靶场】即可,有网安交流群,要进群的小伙伴后台加群即可 vm启动后改静态ip service network restart或者重启reboot 第一题【sql注入】 注意这个文件路径,待会要获取答案 order by判断字 阅读全文
摘要:
深入某CMS渗透测试:从弱口令到接管webshell 前言 关于交流群,后台添加即可 401验证,在网络通信和HTTP协议中,特指一种状态码——401 Unauthorized(未经授权)。当客户端尝试访问受保护的资源时,如果未能提供有效的身份验证信息,或者提供的信息不足以获得访问权限,服务器就会返 阅读全文
摘要:
[强网杯2019]supersqli--Web安全进阶系列 使用引号判断是否存在sql注入 报错,可能存在sql注入,注入payload,判断列数,结果为不存在4列 ?inject=1' order by 4 -- q 换2试试,正常显示,说明存在2列输出结果 ?inject=1' order by 阅读全文
摘要:
前言 靶场:https://vulfocus.cn/ Shiro(Apache Shiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程, 阅读全文
摘要:
引言 Metasploit Framework(MSF)是一款功能强大的开源安全漏洞检测工具,被广泛应用于渗透测试中。它内置了数千个已知的软件漏洞,并持续更新以应对新兴的安全威胁。MSF不仅限于漏洞利用,还包括信息收集、漏洞探测和后渗透攻击等多个环节,因此被安全社区誉为“可以黑掉整个宇宙”的工具。本 阅读全文
摘要:
在Linux系统中,shell编程是一项基本技能,它不仅能够提高系统操作效率,还能让你更好地理解和掌控Linux。本文将带领你从shell编程的基础入门,逐步进阶到复杂应用,通过改写和扩展原有内容,使内容更加丰富且保持低重复率。 一、Shell编程基础 1. Shell简介 Shell是一种命令行界 阅读全文
摘要:
DIRB:一款强大的Web目录扫描工具使用指南 DIRB是一款广泛使用的开源Web内容扫描工具,它专注于发现Web服务器上存在的目录和文件。对于安全研究员、渗透测试人员以及Web开发者来说,DIRB是一个不可或缺的工具,它能帮助他们识别潜在的入口点,从而进一步评估目标网站的安全性。本文将详细介绍DI 阅读全文
摘要:
介绍 Cobalt Strike(简称CS)是一款备受推崇的团队作战渗透测试工具,其架构包含客户端与服务端两部分,支持一个服务端对应多个客户端,同时一个客户端也能连接多个服务端,展现出高度的灵活性。 该工具主要用于执行后期持久渗透、实现横向移动、隐藏网络流量以及窃取数据等任务。一旦在目标机器上成功执 阅读全文
摘要:
apt install figlet figlet -f [字体名称] [你需要的艺术字] # 建议英文的艺术字,不然看不出来 艺术字体列表 showfigfonts 其他字体比如banner、slant 指定对齐方式-c、-r、-l。 也可以使用-w指定宽度 全屏居中,首先创建一个demo.txt 阅读全文
摘要:
一、简介 数据加密是一种保护数据安全的技术,通过将数据(明文)转换为不易被未经授权的人理解的形式(密文),以防止数据泄露、篡改或滥用。加密后的数据(密文)可以通过解密过程恢复成原始数据(明文)。数据加密的核心是密码学,它是研究密码系统或通信安全的一门学科,包括密码编码学和密码分析学。 二、常见的加密 阅读全文
摘要:
什么是flask? Flask是一个使用Python编写的轻量级Web应用框架,它简洁而灵活,适用于开发小型至中型的Web应用。本文将介绍Flask框架的基本概念、特点以及如何使用Flask来快速搭建Web应用,争取在两周内,介绍一篇企业级响应速度的轻量级python Web框架sanic和异步数据 阅读全文
摘要:
前言 Python,作为一种动态类型的解释性语言,确实在执行速度上可能不如C这样的静态类型的编译语言。但是,通过一些技巧和策略,我们可以显著提升Python代码的性能。 本文将探讨如何通过优化方法使Python代码运行得更快、更高效。我们将利用Python的timeit模块来精确测量代码的执行时间。 阅读全文
摘要:
前言 由于传播、利用本公众号小羽网安提供的文章、工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号小羽网安及作者不为此承担任何责任,一旦造成后果请自行承担! 本文主要讲解了渗透测试中的完整渗透测试流程,主要介绍了【wpscan】、【cewl】、【rbash逃逸】的使用技巧,靶场为v 阅读全文