__Invoker

摘要： 作为一位致力于安全的渗透小伙伴。在学习一些渗透知识后不知道怎么利用。那么现在我们浅谈一下。 对于渗透来说。简单分为以下几部分 明确目标 明确范围 确认ip，域名，内外网等 明确规则 确认渗透时间，是否上传木马文件，是否提权等 确认需求 web应用漏洞？线上漏洞？业务漏洞？人员权限漏洞？等 简单理解就 阅读全文

摘要： Cobalt Strike 是一款美国 Red Team 开发的渗透测试神器，常被业界人称为 CS。最近这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket 代理，office 攻击，文件捆绑，钓鱼等功能。同时，Cobalt Stri 阅读全文

摘要： 简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人 原理 攻击者通 阅读全文

摘要： Web应用扫描工具 AWVS 系统扫描工具 Nmap Nessus 扫描工具对比 扫描工具功能对比 测试功能 扫描结果对比 阅读全文

摘要： upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含着不同上传方式。 ps：在搭建靶场时。需要在文件目录手动创建一个名为upload的目录，用于上传文件的存放目录。 Pass 01 阅读全文

摘要： Web入侵先遣—SQL注入攻击技术初探 SQL注入式攻击技术，一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因，是由于程序员在编写Web程序时，没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数，提交SQL查询语句，并传递至服务器端，从而获取想要的敏感信息，甚至执行危险 阅读全文

摘要： 第一篇MSF使用简介及命令使用 1.1 什么是Metasploit Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework，简称MSF。是一个免费、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的 阅读全文

摘要： 先献上github地址 https://github.com/spf13/viper 什么是viper，为什么选用viper，让我们看看官方的说法 大概意思就是viper 兼容多种格式的配置文件，使用简单 既然如此。那我们学习一下viper的使用 第一步 安装 go get github.com/s 阅读全文

摘要： ！！！本文章只用于学习交流。如有非法使用。本人不负责任第一步：请求sign接口获取dfp参数第二步：请求login.action接口看是否需要弹出滑块，如果需要就要获取token第三步：请求sbox_init_key接口获取sig,sid,sr三个参数第四步：请求nitpage接口获取滑块数据第五步 阅读全文

摘要： 请求库urllib使用 请求库requests库使用 python操作excel 解析库BeautifulSoup使用 解析库Xpath使用 解析库pyquery使用 python3用execjs执行JS代码 Selenium浏览器自动化测试工具 静态字体加密分析 阅读全文