不出网环境下的渗透测试
原文链接:https://xz.aliyun.com/news/17321如侵权请私聊我们删文提要本次模拟不出网环境下的渗透测试,靶机搭建了有CVE-2022-26134漏洞的confluence服务
阅读全文一个基于fuzz的waf绕过渗透工具-- x-waf
开源地址:https://github.com/leveryd/x-waf一个基于fuzz的waf绕过测试工具,当前支持命令执行、SQL注入绕过。后续会支持更多绕过方式、攻击类型。Usage: ./
阅读全文图形化安服/渗透测试报告自动生成工具
介绍SSReportTools - 基于JavaFx开发的图形化安服/渗透测试报告自动生成工具,安服渗透仔摸鱼划水必备。Preface众所周知,写一个报告花的最多的时间不是在写测试过程上,而是复制粘贴
阅读全文一款专为渗透测试人员设计的浏览器插件,用于一键记录当前浏览器中打开的URL,帮助你在测试过程中快速保存目标站点,提升工作效率。
介绍Save Multiple URLs 是一个专为渗透测试人员、红队工程师、网络安全研究者打造的浏览器插件,便于快速保存当前所有打开的网页 URL,避免在测试过程中遗漏关键目标。功能特点一键获取当前
阅读全文强推一个永久的渗透测试、安全工具知识库
01 永久的《渗透攻防知识库》 1内容涵盖最新网络安全大厂面试题、面试经验;护网情报、实战演练技术分享;最新漏洞POC/EXP分享(2000+);甲方、乙方规范、方案等模板分享;红队攻防实战经验分享;
阅读全文一个开源的渗透测试框架--溯光
介绍溯光,英文名“TrackRay”,意为逆光而行,追溯光源。同时致敬安全圈前辈开发的“溯雪”,“流光”。溯光是一个开源渗透测试框架,框架自身实现了漏洞扫描功能,集成了知名安全工具:Metasploi
阅读全文一个功能强大的 Burp插件,提供全面的路径发现、绕过技术、EHole指纹识别和可定制的扫描规则。
工具介绍RVScan - Burp Suite 漏洞扫描与指纹识别扩展,一个功能强大的 Burp Suite 扩展,集成了被动扫描、指纹识别、路径绕过等多种安全测试功能。核心功能被动扫描 - 自动检测
阅读全文实战攻防之Nacos漏洞
原文链接:https://www.freebuf.com/articles/web/428863.html前言实战nacos漏洞复现记录一下,大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给
阅读全文从未授权访问到getshell一条龙
文章作者:U0lay文章来源:https://xz.aliyun.com/news/18462一次攻防演练从未授权访问到getshell过程信息搜集首先从目标主页进行信息搜集,发现授权文件经过一番查找
阅读全文某电力公司web.config的RCE之旅
报告来源于某漏洞平台,是已公开的报告,作者:@Kaibro0x01 叙述https://ebppsmtp.taipower.com.tw/uploadfile/UploadFile.aspx 存在任意
阅读全文哥斯拉+suo5内存马组合拳击穿防御
工具介绍Suo5MemShell一款哥斯拉后渗透插件,支持一键注入suo5内存马。目前支持的中间件和内存马类型:Tomcat Filter/ServletSpring ControllerWebLog
阅读全文记一次hw中用到的某云waf绕过技巧
原文首发在:奇安信攻防社区https://forum.butian.net/share/4461几年前的笔记里就存了Y函数的使用(出处找不到了),近期又看到有师傅提到了这个用法,随即又试了试,发现还可
阅读全文一款Linux内网全自动信息收集工具,提权一键梭哈神器
介绍这个工具不联网!不联网!不联网!FeatherScan是一款专为Linux系统设计的自动化内网渗透与特权提升扫描工具,由泷羽Sec作者白小羽开发。该工具旨在简化渗透测试过程中的内网信息收集和提权检
阅读全文日常漏洞管理的小工具
工具介绍vuln_tracking本项目旨在自动化跟踪管理历史漏洞,可以根据历史的漏洞数据(需要包含指定数据)来生成漏洞跟踪表。生成效果这里由于模板数据中没有相关数据,所以会有缺失。漏洞数据整合将历史
阅读全文轻量级被动扫描器,助力资产风险发现
工具介绍z0scan 是一款专注于被动扫描的安全工具,可自动检测 JS 文件中的敏感接口和云存储(如 OSS/S3)配置错误漏洞,支持多平台规则定制,适合红队与企业安全自查。工具优点WAF判断、指纹信
阅读全文ISC.AI 2025国际人工智能发展高峰论坛:【思而听】智能化时代下的勒索挑战与应对
1.ISC.AI 大会介绍ISC 作为亚太地区数字安全领域历史最悠久、规模最大、影响力最深远的国际盛会,自2013年起首届ISC在北京开幕,ISC已成功走过十二载春秋。它不仅是首个由国家六大部委联合支
阅读全文一个用于 Burp Suite 的插件,专为检测和分析 SQL 注入漏洞而设计。
工具介绍SQL Injection Scout 是一个用于 Burp Suite 的扩展,专为帮助安全研究人员和开发人员检测和分析 SQL 注入漏洞而设计。该扩展提供了丰富的配置选项和直观的用户界面,
阅读全文2025年IT人必看的安全应急响应指南!
2025年6月15日夜间,加拿大第二大航空运营商西捷航空遭遇针对性网络攻击,攻击者利用第三方地勤软件漏洞植入恶意脚本,并通过航空公司OT系统与IT系统未完全隔离的缺陷横向移动,最终获取Active D
阅读全文小程序渗透记录 | 通过细节挖掘漏洞的艺术
作者:一天要喝八杯水原文链接:https://forum.butian.net/share/4229低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格
阅读全文强推一个永久的HW演练、渗透攻防知识库
又是一年HW月,全国各地的白帽子、甲乙方安全团队都已经就位开战。有人早早拿到情报、胸有成竹,有人却还在翻旧帖、拼凑工具库、找不到能直接上手的干货资源。临场打点被拖、攻防题一问三不知、0day刚爆就错过
阅读全文IP域名反查工具-v3.0
介绍这是一个IP域名反查工具,把fofa查询IP域名反查页面版写成了图形化界面。IP域名反查工具v3.0在v2.0的基础上,添加了3个功能:1.清空全部2.查询本机公网IP地址3.SEO综合查询工具使
阅读全文记一次对某非法微盘的渗透
0x00目标站:www.xxx.com0x01这种微盘我见得多了,一眼就是tp5的,直接看看tp5关键处。http://www.xxx.com/?s=captchapost:_method=__con
阅读全文一款轻量化的远程连接工具-NxShell
作为运维人员或初学Linux的小伙伴而言。最离不开的工具便是远程连接工具了。工作中常见的工具有XshellFinalshell等。但每款工具都有自身的优点和不足,在这里給大家分享一款比较轻量化工具Nx
阅读全文Android 远控工具-安卓C2
工具介绍Android 远程管理工具。工具功能权限绕过(Android 12 以下)https://youtube.com/shorts/-w8H0lkFxb0键盘记录器https://youtube
阅读全文一款HVV攻防演练必备的IP筛选工具
背景值守客户这边封禁ip需要在多个防火墙上进行封禁,并且存在各种各样的白名单、黑名单,于是编写了这个工具用于快速检索ip和封禁。使用基本用法开发环境 Python 3.9安装所需库pip instal
阅读全文内鬼”难防?边界模糊?零信任:在不可信网络中打造绝对可信的访问!
在数字化转型浪潮中,网络安全是企业发展的生命线和关键。随着信息技术的发展,网络环境复杂多变,网络威胁呈现出多样、隐蔽且高强度的特征。黑客攻击手段不断翻新,如恶意软件感染、网络钓鱼、高级持续性威胁(AP
阅读全文后渗透神器-V1.30
功能简介该工具主要用于后渗透方面,包含:firefox和chromium内核浏览器,提取浏览记录、下载记录、书签、cookie、用户密码Windows记事本和Notepad++ 保存与未保存内容提取向
阅读全文API安全检测自动化工具
介绍作者:Ske联合开发:Chhyx定位:辅助甲方安全人员巡检网站资产,发现并分析API安全问题功能:通过提取自动加载和静态地址中的JS和页面内容,解析Webpack打包和使用正则匹配技术,发现API
阅读全文