水滴工具箱 - V9
工具介绍水滴工具箱是一款集成了抓包、扫描器、漏扫工具、子域名爆破、js探测、OA利用、框架利用、各类组件、jndi注入、内存马、内网渗透、webshell免杀、程序免杀、内网穿透、Windows溯源工
阅读全文护网烂队知识之互联网暴露面整理
什么是互联网暴露面互联网暴露面是指企业网络环境中,所有直接或间接与互联网相连、可能被外部攻击者探测和接触到的节点及组件集合,包括但不限于服务器、终端设备、网络端口、域名(含子域名)、应用程序接口(AP
阅读全文一款可视化AI赋能 高效的被动扫描器 - Scan-X4.0
工具介绍Scan-X是一款基于mitmproxy高效的被动扫描器,专注于快速识别常见Web漏洞,包括SQL注入、越权访问、未授权访问等。通过代理模式自动分析HTTP流量,实现被动扫描,适合大规模资产安
阅读全文从入门到高手,请这样学Linux
Part.1畅销8年的Linux神书8年前,Linux操作系统已经统治企业级服务器市场,这对于众多计算机专业的求职者来说,精通并熟练使用Linux是必备技能。但初学者往往在了解基本原理、会用一些命令行
阅读全文实战 如何利用 WAF 缺陷进行绕过
作者:中铁13层打工人原文:https://forum.butian.net/share/3639?sessionid=-753117415侵权请联系我删除浅析waf绕过在挖洞过程中,往往会遇到各种攻
阅读全文一个为红队演练和安全研究设计的下一代荷载加载器(Payload Loader)生成器,具有免杀能力。
工具介绍GoPhantom 是一个为红队演练和安全研究设计的下一代荷载加载器(Payload Loader)生成器。它利用 Go 语言的强大功能,将原始的 Shellcode 和一个诱饵文件打包成一个
阅读全文记一次项目中把验证码漏洞从低危变成严重漏洞的方式
声明本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.分享一下前段时间对一个项目做渗透测试的一个小思路,希望可以对各位产生
阅读全文新型webshell免杀 | 哥斯拉 Websocket型 webshell
介绍哥斯拉webshell管理工具的插件,用于连接websocket型webshell。WebSocket 型 WebShell 相比传统 WebShell(如基于 HTTP 的 POST/GET 请
阅读全文记一次企业src漏洞挖掘连爆七个漏洞!
自从上一篇作者开发的yakit漏洞自动检测插件介绍后,作者又开启插件进行了企业src的漏洞挖掘之旅,此次挖掘竟然连爆7个漏洞,作者自己都没想到插件竟然这么给力!接下来就详细介绍作者是如何通过yakit
阅读全文不出网环境下的渗透测试
原文链接:https://xz.aliyun.com/news/17321如侵权请私聊我们删文提要本次模拟不出网环境下的渗透测试,靶机搭建了有CVE-2022-26134漏洞的confluence服务
阅读全文一个基于fuzz的waf绕过渗透工具-- x-waf
开源地址:https://github.com/leveryd/x-waf一个基于fuzz的waf绕过测试工具,当前支持命令执行、SQL注入绕过。后续会支持更多绕过方式、攻击类型。Usage: ./
阅读全文图形化安服/渗透测试报告自动生成工具
介绍SSReportTools - 基于JavaFx开发的图形化安服/渗透测试报告自动生成工具,安服渗透仔摸鱼划水必备。Preface众所周知,写一个报告花的最多的时间不是在写测试过程上,而是复制粘贴
阅读全文一款专为渗透测试人员设计的浏览器插件,用于一键记录当前浏览器中打开的URL,帮助你在测试过程中快速保存目标站点,提升工作效率。
介绍Save Multiple URLs 是一个专为渗透测试人员、红队工程师、网络安全研究者打造的浏览器插件,便于快速保存当前所有打开的网页 URL,避免在测试过程中遗漏关键目标。功能特点一键获取当前
阅读全文强推一个永久的渗透测试、安全工具知识库
01 永久的《渗透攻防知识库》 1内容涵盖最新网络安全大厂面试题、面试经验;护网情报、实战演练技术分享;最新漏洞POC/EXP分享(2000+);甲方、乙方规范、方案等模板分享;红队攻防实战经验分享;
阅读全文一个开源的渗透测试框架--溯光
介绍溯光,英文名“TrackRay”,意为逆光而行,追溯光源。同时致敬安全圈前辈开发的“溯雪”,“流光”。溯光是一个开源渗透测试框架,框架自身实现了漏洞扫描功能,集成了知名安全工具:Metasploi
阅读全文一个功能强大的 Burp插件,提供全面的路径发现、绕过技术、EHole指纹识别和可定制的扫描规则。
工具介绍RVScan - Burp Suite 漏洞扫描与指纹识别扩展,一个功能强大的 Burp Suite 扩展,集成了被动扫描、指纹识别、路径绕过等多种安全测试功能。核心功能被动扫描 - 自动检测
阅读全文实战攻防之Nacos漏洞
原文链接:https://www.freebuf.com/articles/web/428863.html前言实战nacos漏洞复现记录一下,大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给
阅读全文从未授权访问到getshell一条龙
文章作者:U0lay文章来源:https://xz.aliyun.com/news/18462一次攻防演练从未授权访问到getshell过程信息搜集首先从目标主页进行信息搜集,发现授权文件经过一番查找
阅读全文某电力公司web.config的RCE之旅
报告来源于某漏洞平台,是已公开的报告,作者:@Kaibro0x01 叙述https://ebppsmtp.taipower.com.tw/uploadfile/UploadFile.aspx 存在任意
阅读全文哥斯拉+suo5内存马组合拳击穿防御
工具介绍Suo5MemShell一款哥斯拉后渗透插件,支持一键注入suo5内存马。目前支持的中间件和内存马类型:Tomcat Filter/ServletSpring ControllerWebLog
阅读全文记一次hw中用到的某云waf绕过技巧
原文首发在:奇安信攻防社区https://forum.butian.net/share/4461几年前的笔记里就存了Y函数的使用(出处找不到了),近期又看到有师傅提到了这个用法,随即又试了试,发现还可
阅读全文一款Linux内网全自动信息收集工具,提权一键梭哈神器
介绍这个工具不联网!不联网!不联网!FeatherScan是一款专为Linux系统设计的自动化内网渗透与特权提升扫描工具,由泷羽Sec作者白小羽开发。该工具旨在简化渗透测试过程中的内网信息收集和提权检
阅读全文日常漏洞管理的小工具
工具介绍vuln_tracking本项目旨在自动化跟踪管理历史漏洞,可以根据历史的漏洞数据(需要包含指定数据)来生成漏洞跟踪表。生成效果这里由于模板数据中没有相关数据,所以会有缺失。漏洞数据整合将历史
阅读全文轻量级被动扫描器,助力资产风险发现
工具介绍z0scan 是一款专注于被动扫描的安全工具,可自动检测 JS 文件中的敏感接口和云存储(如 OSS/S3)配置错误漏洞,支持多平台规则定制,适合红队与企业安全自查。工具优点WAF判断、指纹信
阅读全文ISC.AI 2025国际人工智能发展高峰论坛:【思而听】智能化时代下的勒索挑战与应对
1.ISC.AI 大会介绍ISC 作为亚太地区数字安全领域历史最悠久、规模最大、影响力最深远的国际盛会,自2013年起首届ISC在北京开幕,ISC已成功走过十二载春秋。它不仅是首个由国家六大部委联合支
阅读全文一个用于 Burp Suite 的插件,专为检测和分析 SQL 注入漏洞而设计。
工具介绍SQL Injection Scout 是一个用于 Burp Suite 的扩展,专为帮助安全研究人员和开发人员检测和分析 SQL 注入漏洞而设计。该扩展提供了丰富的配置选项和直观的用户界面,
阅读全文2025年IT人必看的安全应急响应指南!
2025年6月15日夜间,加拿大第二大航空运营商西捷航空遭遇针对性网络攻击,攻击者利用第三方地勤软件漏洞植入恶意脚本,并通过航空公司OT系统与IT系统未完全隔离的缺陷横向移动,最终获取Active D
阅读全文小程序渗透记录 | 通过细节挖掘漏洞的艺术
作者:一天要喝八杯水原文链接:https://forum.butian.net/share/4229低价享受高价锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格
阅读全文强推一个永久的HW演练、渗透攻防知识库
又是一年HW月,全国各地的白帽子、甲乙方安全团队都已经就位开战。有人早早拿到情报、胸有成竹,有人却还在翻旧帖、拼凑工具库、找不到能直接上手的干货资源。临场打点被拖、攻防题一问三不知、0day刚爆就错过
阅读全文