XK Team

MonkeyCode已内置GLM-4.7，可无限免费使用
作者：XK Team发布日期：2026-02-04 11:49:28
如果你最近在关注 AI 编程工具，大概率已经被各种“强大”“颠覆”“解放生产力”的宣传刷过屏。但真正用下来，很多人都会遇到一个现实问题：好用的模型要钱，免费的模型不敢用；能写 Demo，但进不了真实
阅读全文
AI+MCP自动化查杀java内存马
作者：XK Team发布日期：2026-02-04 11:49:28
在上一篇文章中，详细的描述了agent、mcp概念以及编写，此篇文章将详细的讲述MCP的使用，以及如何编写一个好的MCP。原文地址：https://ruoji6.github.io/posts/192
阅读全文
天狐渗透工具箱-社区版V3.0发布~
作者：XK Team发布日期：2026-01-08 17:54:32
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会
阅读全文
【首发POC】n8n Python代码节点沙箱绕过导致系统命令执行 (CVE-2025-68668)
作者：XK Team发布日期：2026-01-05 22:42:24
前言今天各家都通报了CVE-2025-68668 n8n Python代码节点沙箱绕过导致系统命令执行漏洞，但没有poc，特有此文，文中poc仅供合法测试，用于企业自查，切勿用于非法测试，未授权测试造
阅读全文
IM即时通讯系统审计
作者：XK Team发布日期：2025-12-25 17:51:31
研究这个漏洞还是一次偶然的机会，逛github发现了一个上传漏洞本想着复现一把，很简单的数据包但是咋也复现不成功POST /static/lib/webuploader/0.1.5/server/fi
阅读全文
CVE-2025-55182-Next.js-RCE
作者：XK Team发布日期：2025-12-05 12:03:42
网传pocPOST /apps HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.
阅读全文
第142篇：蓝队分析工具箱解密多层加密的恶意网页演示
作者：XK Team发布日期：2025-12-02 14:45:33
Part1 前言大家好，我是ABC_123。最近几个月我对蓝队分析取证工具箱的很多功能进行了更新和优化，尤其是在一些看似细微但实际非常影响体验的功能上花了不少功夫。蓝队工具箱中有很多经过我反复打磨
阅读全文
一个好用的mac应用工具集
作者：XK Team发布日期：2025-12-01 11:24:45
Awesome Mac 🍏精选 macOS 平台上的优质软件、工具与资源 —— 开发者友好，效率至上，开源优先。📌 简介Awesome Mac （https://github.com/jaywcjlo
阅读全文
1Day-某UAS企业管理系统存在多处SQL注入漏洞
作者：XK Team发布日期：2025-11-04 16:55:13
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会
阅读全文
一次对某涩涩APP的分析之旅
作者：XK Team发布日期：2025-11-03 17:40:03
免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即
阅读全文
Nginx日志审计小模型(开源)
作者：XK Team发布日期：2025-09-28 14:45:05
TQSec LogAnalysisBotQ什么是TQSec LogAnalysisBotA TQSec LogAnalysisBot是一个基于Nginx日志的攻击检测和分析工具。它使用深度学
阅读全文
供应链攻击某src某游戏控制台
作者：XK Team发布日期：2025-07-10 16:04:06
1.前言很久没发实战类文章了，以下内容源自于去年我在某src的报告，仅对文字和图片中的关键信息做了脱敏和打码，其余内容基本没做什么修改。在挖掘某src游戏业务的时候，我大量使用了供应链攻击手法，并进入
阅读全文
天狐渗透工具箱-社区版V2.0纪念版重磅升级发布！
作者：XK Team发布日期：2025-06-23 00:10:19
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号狐狸说安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会
阅读全文
fxray（fscan+xray）内网大保健
作者：XK Team发布日期：2025-06-19 17:57:58
工作原因定期开展多轮内网渗透，面对海量资产，fscan 只能照顾到一些服务弱口令，nday 等，xray 又只能在 web 上大展拳脚，所以缝了个小工具直接二者结合工作流程使用方法python3 fx
阅读全文
【万字详细】PHP与ThinkPHP框架代码审计综合技巧
作者：XK Team发布日期：2025-04-16 13:56:29
点击上方蓝字关注我们并设为星标0x00 前言我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究，结合其他权威资源，我们提取了一系列实用的代码审计方法和技
阅读全文
600+历年攻防演练漏洞汇编！千起实战案例还原漏洞攻击链
作者：XK Team发布日期：2025-04-02 16:24:17
随着国家攻防演练行动进入实战化深水区，攻击方技术手段持续升级，传统基于漏洞评分的"打补丁式防御"已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际，360漏洞云基于对2023-2024年1372
阅读全文
hvv能力提升篇 | 利用雷池快速上手研判
作者：XK Team发布日期：2025-03-28 15:49:56
场景1临近hvv 小白没用过设备简历大片空白？告警研判数据一问三不知？渗透流量从脸上过去都看不出来攻击？面试官多轮拷打最终只定到监测？场景2费尽心力搭建完网站没米请人运营？从搭建到被脱裤三天都不到？想
阅读全文
第118篇：Redis未授权访问漏洞与SSH免密登录的简易操作方法
作者：XK Team发布日期：2025-03-24 14:33:18
Part1 前言大家好，我是ABC_123。近几年在内网横向过程中，经常会遇到Redis未授权访问漏洞或者Redis弱密码的情况，通过修改Redis配置写入SSH公钥，可以间接获取Linux服务器
阅读全文
灯塔自动化扫描工具
作者：XK Team发布日期：2025-02-25 10:30:00
去年做渗透的时候往往面对多个目标一个一个看比较乏力，所以就缝了个小东西，现在转到别的岗位好久没用了，发出来让大家瞅瞅整个目录结构，本来想从0缝合一个，后来觉得信息收集灯塔做的还不错，所以研究了下灯
阅读全文
灯塔自动化扫描工具
作者：XK Team发布日期：2025-02-24 17:02:39
去年做渗透的时候往往面对多个目标一个一个看比较乏力，所以就缝了个小东西，现在转到别的岗位好久没用了，发出来让大家瞅瞅整个目录结构，本来想从0缝合一个，后来觉得信息收集灯塔做的还不错，所以研究了下灯
阅读全文