HW实战中的技战法合集!速领!
扫码加好友领取
阅读全文外网打点不靠0day组合拳拿下目标系统
作者:hyyrent来源:https://forum.butian.net/share/4573如有侵权,请联系我删除本案例所使用的素材来源于过往参与的攻防对抗比赛及众测项目,选取比较有意思的案例分享
阅读全文强推一个永久的攻防演练、渗透攻防知识库
想跳槽面试,翻遍全网找大厂真题,要么是三四年前的旧题,要么零散得凑不成体系,连份能参考的面经都没有;护网演练到关键节点,急需某个漏洞的 POC/EXP,在各个群里 “求资源” 求到半夜,拿到的还是过期
阅读全文高性能 Web 日志分析可视化工具
介绍基于 Electron + Vue 3 + TypeScript 的高性能 Web 日志分析工具。支持本地内存模式、Zinc(未开放)与 Redis 高性能模式(未开放)。工具展示智能仪表盘 -
阅读全文他们说EDR无懈可击,但有人写了一本书证明并非如此
2025年,一次国内的红队演练里,某企业的安全负责人信心满满:“我们的EDR覆盖率100%,只要有攻击,一定会被拦下!”结果仅过数小时,攻击流量悄无声息地穿过了防线。EDR 没有报警,SOC 没有预警
阅读全文一款高价值漏洞情报爬取工具
简介一款漏洞情报拉取工具(漏洞信息覆盖不全),用于高价值漏洞采集,不留存漏洞信息,每次都会重新爬取,包括奇安信 CERT、ThreatBook、OSCS等平台的公开漏洞信息,支持根据日期和漏洞名称进行
阅读全文18.3KStar!一款开源的防护神器!
搞安全的,经常挖漏洞的都知道,最容易出现漏洞的就是Web 层。明明服务器防火墙开着,却还是被植入后门,多半是没上 WAF,或者已经上了的WAF太弱了。开源社区,很多人都在用长亭雷池WAF,GitHub
阅读全文大模型安全,真的不是玄学!
大模型安全从来不是选答题,而是每个 AI 从业同学的必修课。毕竟安全这个事儿就好比楼道里的灭火器,看着不显眼。实际是 AI 真正落地的必备标配。现在 AI 的服务、产品井喷式增长,看起来很方便快捷,可
阅读全文终端实时流量监控工具 Netop
流量分析是网络安全和Linux运维领域必不可少的手段之一。利用netop 这款工具可以自定义过滤网络流量规则。本文让我们一起来学习吧~netop命令安装部署执行下面命令,利用Docker一键部署。do
阅读全文0day | 某在线拍卖系统代码审计
文章作者:先知社区(w*u)参考来源:https://xz.aliyun.com/news/18713 环境搭建 先创建一个mysql数据库名为:springbootp0eo6然后用source命令导
阅读全文EasyTshark 一款适合新手入门的抓包工具
Wireshark是一款网络安全和Linux运维神器。但是对于新手而言,上手较难。因此,本文为大家推荐一款基于Wireshark二次开发的抓包工具EasyTshark使用体验接下来,让我们体验这款工具
阅读全文一款Windows GUI界面的渗透测试工具箱-V1.3(更新)
link-tools为一款Windows GUI界面的渗透测试工具箱(仿rolan启动器),支持拖拉新增工具(脚本、文件夹),支持自定义运行参数和备注,支持bat批量运行脚本,支持RapidScann
阅读全文一个现代化的网络安全练习和竞赛平台 - CyberPoC
工具介绍CyberPoC 是一个现代化的网络安全练习和竞赛平台,支持容器化部署的安全挑战,为用户提供实践网络安全技能的环境。快速开始使用 Docker Compose (推荐)克隆项目 git c
阅读全文二开 | 自动化检测 Swagger API 接口未授权访问工具
SwaggerHound介绍针对大量 Swagger 目标并爬取所有接口并测试未授权漏洞, 通过阅读目前已公开相关项目代码发现一些痛点, 所以在前辈们项目基础上自己搓了一个。主要功能支持单个目标和批量
阅读全文JS扫描与漏洞挖掘利器推荐—Rotor Goddess
工具介绍在网络安全领域,信息收集与漏洞挖掘如同在黑暗中寻找潜藏的危险,传统工具常因速度迟缓、路径挖掘局限、分析过程繁琐,令安全从业者举步维艰。而一款名为 “转子女神” 的创新工具,正凭借其独特优势,为
阅读全文一款完全开源的漏洞挖掘神器 - LoveJS
一、LoveJS 简介LoveJS 是一款帮助网络安全研究员获取页面和JS中的隐藏接口和敏感信息的浏览器插件,并且可以批量打开URL和自定义基础目录,可以帮助用户高效的进行API接口测试和漏洞挖掘同时
阅读全文一次业务系统渗透测试
本公众号分享的网络安全技术仅供合法授权测试与防御研究使用,严禁任何未经授权的渗透测试行为。 本次记录为授权渗透测试,无授权请勿模仿,原漏洞已全部报送并且修复。一个风和日丽的夜晚,领导丢来
阅读全文一款可以梭哈内存马的工具
记录对于恶意代码查杀小记:第一套程序用java,采用rasp同样的方式,hook住jvm后查杀内存马,之后可能还会对无文件的agent进行操作测试用文件放在asset文件夹序言java内存马技术十分成
阅读全文好用的魔改Frida——rusda
0x1 frida 编译流程建立一个项目目录并拉下frida源码,并进入项目目录git clone --recurse-submodules -b 16.2.1 https://github.com/
阅读全文集成资产定期监控功能的Nmap图形化扫描工具,让“扫描之王”Nmap使用更加简单。
介绍FastNmap是一个强大、现代化的Nmap图形界面工具,为网络管理员和安全研究人员提供了友好的可视化界面,让“扫描之王”Nmap的功能变得简单易用,同时集成了高级功能,包括漏洞扫描、暴力破解、资
阅读全文Swagger 未授权检测工具
介绍用于探测 Swagger/OpenAPI 文档并尝试未授权访问接口,辅助安全自查。识别 swagger-ui 页面、swagger-resources 入口、Swagger 1.x/V2/V3 文
阅读全文记一次安服仔薅洞实战(lucky)
## # 记一次安服仔薅洞实战 在一个阳光明媚的工作日,一位安服仔突然接受到了上级的任务,任务竟然是对整个区收集漏洞,数量要求还不是一般多,这可难倒了安服仔,安服仔本想着安安心心过(...文章来源:
阅读全文红队视角:内网是如何被一步步打穿的?
在数字化的世界里,信息已成为最具战略价值的资产之一,而与之相伴的信息安全威胁也愈发复杂多样,黑客攻击、恶意软件感染、数据泄露等安全事件频繁发生,给个人、企业乃至国家带来了巨大的损失和潜在的风险。对于企
阅读全文警惕!你的云也许并不安全!
随着企业纷纷将核心业务与数据迁移至云端,云安全这一隐形的“达摩克利斯之剑”也悄然悬于头顶,成为制约企业云战略深入发展的关键因素。云环境的开放性、虚拟化与动态性等特点,也使得云安全面临前所未有的挑战。从
阅读全文信息收集实战,进入某校内网
作者:尘佑不尘原文:https://xz.aliyun.com/t/16089选择目标进入补天,选择一个目标信息收集真实ip查找使用nslookup xxx.xxx.xxx虽然只有一个ip回显,但是访
阅读全文实战|近期某省级HVV实战回忆录
文章作者:和文章来源:https://zone.huoxian.cn/d/2960-hvv前言先说明一下,部分图片打码严重,怕漏点儿,部分截图为工具缓存截图近期又结束了一个HVV,有点儿心力憔悴,最后
阅读全文一个永久的渗透测试、安全工具知识库
01 永久的《渗透攻防知识库》 1内容涵盖最新网络安全大厂面试题、面试经验;护网情报、实战演练技术分享;最新漏洞POC/EXP分享(2000+);甲方、乙方规范、方案等模板分享;红队攻防实战经验分享;
阅读全文IP筛选工具 - IPFilter
介绍IP筛选工具,可快速检索IP并查询威胁情报,可自行对接防火墙等设备进行IP封禁项目地址https://github.com/wi1shu7/IPFilter
阅读全文全新Web攻击管理界面 助力hw红队快速打点 - dddd-red v2.0
工具介绍dddd-red是一款使用简单的批量信息收集,供应链漏洞探测工具,旨在优化红队工作流,减少伤肝的机械性操作。全新Web管理界面 : 使用随机密码登录,支持快速部署在Linux服务器(需要放通7
阅读全文