2019年1月6日
Weevely-0.7(php菜刀)工具使用详解
摘要: -前言weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身,仅用于安全学习教学之用,禁止非法用途),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一 阅读全文
posted @ 2019-01-06 18:58 heycomputer 阅读(1248) 评论(0) 推荐(0)
Pydict —Best Dict Generator
摘要: 1. Download git clone –depth=1 –branch=master https://www.github.com/landgrey/pydictor.git 2.Usage cd pydictor/ chmod 755 pydictor.py python pydictor. 阅读全文
posted @ 2019-01-06 18:57 heycomputer 阅读(291) 评论(0) 推荐(0)
使用Burpsuite Intruder爆破含CSRF-Token的程序(DVWA Brute Force high-level)
摘要: DVWA 第一题,Brute Force,简单(low)和中等(medium)模式比较好破解,对登陆请求没有做严格的过滤,可以使用简单的爆破完成,可以使用的软件是hydra和burpsuite的intruder功能。但是困难(high)模式,登陆请求中加入了csrf-token验证,每请求一次登陆, 阅读全文
posted @ 2019-01-06 18:56 heycomputer 阅读(493) 评论(0) 推荐(0)
Hashcat密码破解攻略
摘要: hashcat号称世界上最快的密码破解,世界上第一个和唯一的基于GPGPU规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和Windows本地二进制文件),多平台(OpenCL和CUDA支持),多算法,资源利用率低,基于字典攻击,支持分布式破解等等,目前最新版本为4.01 阅读全文
posted @ 2019-01-06 18:55 heycomputer 阅读(7474) 评论(1) 推荐(0)
各类Fuzz软件
摘要: 众所周知,模糊测试技术已经成为了测试软件质量的重要手段。基于模糊测试技术开发的测试工具有很多,其中最长被使用而且改进也是最多的一个工具就是AFL(American Fuzz Lop). 本篇文章不会赘述如何安装afl,以及如何使用afl进行简单的fuzz。由于很多被测程序都有自己的一个入口,而这些入 阅读全文
posted @ 2019-01-06 18:54 heycomputer 阅读(4243) 评论(0) 推荐(0)
Mitmf使用技巧
摘要: git clone https://github.com/byt3bl33d3r/MITMf.git /opt/mitmf/ 1. ./mitmf.py –iface eth0 –spoof –arp –gateway 192.168.217.2 –target 192.168.217.129 –i 阅读全文
posted @ 2019-01-06 18:53 heycomputer 阅读(555) 评论(0) 推荐(0)
Hacker’s Blog Links
摘要: Lcy Kali LMva mxny Kido King LinE Cizel L3m0n Jas0n xd_xd Tasfa Swing L4oZu1 LOnils junjie xianyu Ox9A82 0xmuhe Virink Tomato 0xmuhe Virink Mosuan Ven 阅读全文
posted @ 2019-01-06 18:52 heycomputer 阅读(192) 评论(0) 推荐(0)
安全资源共享
摘要: https://www.hackjie.com/ Web安全视频 Online-Security-Videos – 红日Web安全攻防视频 Online-Security-Videos – 西安鹏程网络安全攻防课程 Online-Security-Videos – Vulhub系列视频 Online 阅读全文
posted @ 2019-01-06 18:51 heycomputer 阅读(643) 评论(0) 推荐(0)
在线渗透测试网址
摘要: 信息收集网站 信息收集网站 Online-Security – 在线NMAP Online-Security – 在线NSLOOKUP Online-Security – 站长工具:whois Online-Security – 7c去查网 Online-Security – ICP备案查询网 On 阅读全文
posted @ 2019-01-06 18:50 heycomputer 阅读(1506) 评论(0) 推荐(0)
强大的Web渗透工具Burpsuite和Zaproxy
摘要: 一、Burpsuite 官方主页:https://portswigger.net/ 功能介绍: Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 Spider——是一个应用智能感应的网络爬虫,它能完整的枚举 阅读全文
posted @ 2019-01-06 18:47 heycomputer 阅读(2629) 评论(0) 推荐(0)
操作系统命令注入(Windows篇)
摘要: An A-Z Index of the Windows CMD command line ADDUSERS Add or list users to/from a CSV file ADmodcmd Active Directory Bulk Modify ARP Address Resolutio 阅读全文
posted @ 2019-01-06 18:46 heycomputer 阅读(2561) 评论(0) 推荐(0)
操作系统命令注入(Linux篇)
摘要: An A-Z Index of the Linux command line: bash + utilities. alias Create an alias • apropos Search Help manual pages (man -k) apt-get Search for and ins 阅读全文
posted @ 2019-01-06 18:45 heycomputer 阅读(2153) 评论(0) 推荐(0)
SQLMap工具-使用选项的操作命令&功能
摘要: 转载自:https://www.jianshu.com/p/fa77f2ed788b 可以参考:https://github.com/sqlmapproject/sqlmap/wiki/Usage 在使用时发现second-order参数已经被second-url替代。 目录结构 SQLMap安装路 阅读全文
posted @ 2019-01-06 18:44 heycomputer 阅读(1610) 评论(0) 推荐(0)
利用Google Dorks字符串找到可注入的网站
摘要: view_items.php?id= home.php?cat= item_book.php?CAT= www/index.php?page= schule/termine.php?view= goods_detail.php?data= storemanager/contents/item.php 阅读全文
posted @ 2019-01-06 18:43 heycomputer 阅读(1268) 评论(0) 推荐(0)
SSRF漏洞分析与利用
摘要: 转自:http://www.4o4notfound.org/index.php/archives/33/#pingback-26 作者: 404notfound 时间: 2017-05-25 分类: 网络安全,代码审计 浏览: 5812 前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的 阅读全文
posted @ 2019-01-06 18:41 heycomputer 阅读(503) 评论(0) 推荐(0)
挖门罗币的那些事
摘要: 1.申请钱包地址。 1).通过交易网站获得,例如gateio.io 和aex.com 2).通过官网钱包客户端来生成。 2.挖矿工具 工具xmrig、xmr-stak等等。 项目地址: github.com/xmrig/xmrig(CPU挖矿) github.com/xmrig/xmrig-amd( 阅读全文
posted @ 2019-01-06 18:33 heycomputer 阅读(760) 评论(0) 推荐(0)
Playing with Content-Type – XXE on JSON Endpoints
摘要: Many web and mobile applications rely on web services communication for client-server interaction. Most common data formats for web services are XML, 阅读全文
posted @ 2019-01-06 18:32 heycomputer 阅读(259) 评论(0) 推荐(0)
黑夜的猎杀-盲打XXE
摘要: 在进入正文前,我想告诉大家,文章没有涉及任何XXE攻击的任何新技巧,这只是我遇到的一个案例,我只想分享给大家。 简短的摘要是非常重要的: 在对后台一无所知的情况下发现了一个XXE漏洞,该漏洞没有返回任何数据或者文件,这就是盲打XXE 使用盲打XXE进行基于报错的端口扫描 成功的外部交互正常进行 充分 阅读全文
posted @ 2019-01-06 18:31 heycomputer 阅读(518) 评论(0) 推荐(0)
2018年11月14日 Forcing XXE Reflection through Server Error Messages
摘要: https://blog.netspi.com/ XML External Entity (XXE) injection attacks are a simple way to extract files from a remote server via web requests. For easy 阅读全文
posted @ 2019-01-06 18:30 heycomputer 阅读(183) 评论(0) 推荐(0)
Hunting in the Dark – Blind XXE
摘要: Before getting into the post, this isn’t anything brand new or leet in the area of XML External Entity (XXE) attacks, it is purely something I came ac 阅读全文
posted @ 2019-01-06 18:29 heycomputer 阅读(255) 评论(0) 推荐(0)
XXE: XML eXternal Entity Injection vulnerabilities
摘要: From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect t 阅读全文
posted @ 2019-01-06 18:28 heycomputer 阅读(359) 评论(0) 推荐(0)
XXE – Things Are Getting Out of Band
摘要: This isn’t anything new however has been a long time in writing as I’ve been playing around with things! It is more my take on how to do these types o 阅读全文
posted @ 2019-01-06 18:27 heycomputer 阅读(573) 评论(0) 推荐(0)
Exploiting XXE with local DTD files
摘要: 转自:https://mohemiv.com/all/exploiting-xxe-with-local-dtd-files/ This little technique can force your blind XXE to output anything you want! Why do we 阅读全文
posted @ 2019-01-06 18:26 heycomputer 阅读(407) 评论(0) 推荐(0)
XSS跨站脚本小结
摘要: XSS漏洞验证经常遇到一些过滤,如何进行有效验证和绕过过滤呢,这里小结一下常见的一些标签,如<a><img>等。 参考链接:http://www.jb51.net/tools/xss.htm http://d3adend.org/xss/ghettoBypass _____ _ _ _ __ ___ 阅读全文
posted @ 2019-01-06 18:25 heycomputer 阅读(714) 评论(0) 推荐(0)
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion
摘要: By RSnake Note from the author: XSS is Cross Site Scripting. If you don’t know how XSS (Cross Site Scripting) works, this page probably won’t help you 阅读全文
posted @ 2019-01-06 18:22 heycomputer 阅读(538) 评论(0) 推荐(0)
Xss Bypass备忘录
摘要: 技术要发展,免不了风波. 也许这些攻攻防防会更好的促进技术的发展也说不定 就让这一次次的爆破换来将来更精练的技术的无比的宁静吧 我们静观其变吧! 缅怀当初那份最纯真Hacker精神!! 2017.深圳 By:Legend 译文源起 翻译本文最初源自国内在对2014年老道翻译的一个版本,发现此版本有些 阅读全文
posted @ 2019-01-06 18:20 heycomputer 阅读(548) 评论(0) 推荐(0)
XSS绕过小结
摘要: 0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Scri 阅读全文
posted @ 2019-01-06 18:19 heycomputer 阅读(502) 评论(0) 推荐(0)
【干货分享】XSS攻击进阶篇——那些年我们看不懂的XSS
摘要: 文章目录 文章目录 文章目录 文章目录 一. XSS概述 二. 文件对象模型简介 2.1 DOM简介 2.2 常用的DOM方法 2.3 四个重要的DOM属性 2.4 输入一般在哪里 三. DOM base XSS 3.1 两个典型的DOM过程 3.2 需要了解的知识点 3.3 典型DOM base 阅读全文
posted @ 2019-01-06 18:17 heycomputer 阅读(590) 评论(0) 推荐(0)
AwesomeXSS
摘要: Awesome XSS stuff. Put this repo on watch. I will be updating it regularly. Awesome Websites brutelogic.com.br respectxss.blogspot.in Awesome Challeng 阅读全文
posted @ 2019-01-06 18:16 heycomputer 阅读(296) 评论(0) 推荐(0)
XSS攻击常识及常见的XSS攻击脚本汇总
摘要: 一、什么是XSS? https://www.cnblogs.com/blacksunny/p/9164421.html XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 这里我们主要注 阅读全文
posted @ 2019-01-06 18:15 heycomputer 阅读(770) 评论(0) 推荐(0)
使用SVG格式的xss注入
摘要: svg文档:https://www.w3.org/TR/SVG2/ https://svg.digi.ninja/svg此页面中包含svg方式的xss注入场景。 源代码:https://github.com/digininja/svg_xss 电子书:Mario_Heiderich_OWASP_Sw 阅读全文
posted @ 2019-01-06 18:14 heycomputer 阅读(6837) 评论(0) 推荐(0)
XSS Script
摘要: 1) <iframe %00 src=”&Tab;javascript:prompt(1)&Tab;”%00> 2) <svg><style>{font-family&colon;'<iframe/onload=confirm(1)>’ 3) <input/onmouseover=”javaSCRI 阅读全文
posted @ 2019-01-06 18:13 heycomputer 阅读(601) 评论(0) 推荐(0)
BadUSB
摘要: https://ducktoolkit.com/ https://shop.hak5.org/collections/bfcm2018-top/products/usb-rubber-ducky-deluxe https://github.com/hak5darren/USB-Rubber-Duck 阅读全文
posted @ 2019-01-06 18:10 heycomputer 阅读(345) 评论(0) 推荐(0)