任尔东西南北风

摘要： 环境搭建 环境运行后，将监听61616和8161两个端口。其中61616是工作端口，消息在这个端口进行传递；8161是Web管理页面端口。访问`http://your-ip:8161`即可看到web管理页面，不过这个漏洞理论上是不需要web的。 ## 漏洞复现 漏洞利用过程如下： 1. 构造（可以使 阅读全文

摘要： 问题一 BeautifulSoup的高级应用 之 find findAll https://blog.csdn.net/Winterto1990/article/details/47624167 问题二 Python 在引号内引用变量 https://www.cnblogs.com/playboys 阅读全文

摘要： CS 生成cs的vba脚本 攻击-钓鱼后门-ms office macro generate之后 这是生成的宏脚本 在office中打开word，视图-宏-查看宏，创建宏 在this document中清除全部内容并复制cs生成的宏代码 保存成“启用宏的文件” 生成的宏文件可以被杀毒软件杀掉。 通过 阅读全文

摘要： xdm客户要进行钓鱼测试，学些一下怎么搞 上学习的大佬链接https://blog.csdn.net/qq_42939527/article/details/107485116 Gohish 下载 Github:https://github.com/gophish/gophish/releases 阅读全文

摘要： 上传漏洞的介绍 上传文件是一种常见的功能，因为它有助于提高业务效率，比如企业的OA系统，允许用户长传图片，视频，头像和许多其他类型的文件。然而向用户提供的功能越多，web应用收到的攻击的风险就越大。 为什么文件上传存在漏洞以及上传漏洞的危害 上传文件时，如果服务端代码未对客户端上传的文件进行严格的验 阅读全文

摘要： ssrf是是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，ssrf攻击的目标是外网无法访问的内部系统。 漏洞原理 ssrf的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没对目标地址做过过滤与限制 攻击方式如下： 1.对外网、服务器所在内网、本地端口进行端口扫描，获取一 阅读全文

摘要： 信息收集 https://mp.weixin.qq.com/s/K3GMrbvMThEw2DYkSoGYxQ 工具 https://mp.weixin.qq.com/s/gjZgEIdUKnaruydTZRdtjA 代理proxychains4 https://www.cnblogs.com/eas 阅读全文

摘要： xss跨站脚本攻击 针对网站应用程序的安全漏洞技术，是代码注入的一种。它允许用户将恶意代码注入网页，其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后，可能得到很高的权限、私密网页内容、会话和cookie等各种内容。 xss分类： 反射型 非持久型xss，一次性的 攻击方式：攻击者通过 阅读全文

摘要： union注入 boolean注入 报错注入 时间注入语句: if(expr1,expr2,expr3) :若expr1为true，则执行expr2,否则执行expr3. 判断数据库库名长度： and if(length(databse())>1,sleep(5),1) 判断数据库库名：and if 阅读全文

摘要： Apache Flink Apache Flink是一个开源流处理框架，具有强大的流处理和批处理功能。 Apache Flink 1.11.0中引入的一项更改(包括版本1.11.1和1.11.2)允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。 阅读全文