强推一个永久的HW演练、渗透攻防知识库
又是一年HW月,全国各地的白帽子、甲乙方安全团队都已经就位开战。有人早早拿到情报、胸有成竹,有人却还在翻旧帖、拼凑工具库、找不到能直接上手的干货资源。临场打点被拖、攻防题一问三不知、0day刚爆就错过
阅读全文IP域名反查工具-v3.0
介绍这是一个IP域名反查工具,把fofa查询IP域名反查页面版写成了图形化界面。IP域名反查工具v3.0在v2.0的基础上,添加了3个功能:1.清空全部2.查询本机公网IP地址3.SEO综合查询工具使
阅读全文记一次对某非法微盘的渗透
0x00目标站:www.xxx.com0x01这种微盘我见得多了,一眼就是tp5的,直接看看tp5关键处。http://www.xxx.com/?s=captchapost:_method=__con
阅读全文一款轻量化的远程连接工具-NxShell
作为运维人员或初学Linux的小伙伴而言。最离不开的工具便是远程连接工具了。工作中常见的工具有XshellFinalshell等。但每款工具都有自身的优点和不足,在这里給大家分享一款比较轻量化工具Nx
阅读全文Android 远控工具-安卓C2
工具介绍Android 远程管理工具。工具功能权限绕过(Android 12 以下)https://youtube.com/shorts/-w8H0lkFxb0键盘记录器https://youtube
阅读全文一款HVV攻防演练必备的IP筛选工具
背景值守客户这边封禁ip需要在多个防火墙上进行封禁,并且存在各种各样的白名单、黑名单,于是编写了这个工具用于快速检索ip和封禁。使用基本用法开发环境 Python 3.9安装所需库pip instal
阅读全文内鬼”难防?边界模糊?零信任:在不可信网络中打造绝对可信的访问!
在数字化转型浪潮中,网络安全是企业发展的生命线和关键。随着信息技术的发展,网络环境复杂多变,网络威胁呈现出多样、隐蔽且高强度的特征。黑客攻击手段不断翻新,如恶意软件感染、网络钓鱼、高级持续性威胁(AP
阅读全文后渗透神器-V1.30
功能简介该工具主要用于后渗透方面,包含:firefox和chromium内核浏览器,提取浏览记录、下载记录、书签、cookie、用户密码Windows记事本和Notepad++ 保存与未保存内容提取向
阅读全文API安全检测自动化工具
介绍作者:Ske联合开发:Chhyx定位:辅助甲方安全人员巡检网站资产,发现并分析API安全问题功能:通过提取自动加载和静态地址中的JS和页面内容,解析Webpack打包和使用正则匹配技术,发现API
阅读全文一个高性能的目录遍历漏洞扫描工具
工具介绍Directory Traversal Scanner 是一个高性能的目录遍历漏洞扫描工具,专门用于检测和验证 Web 应用程序中的路径遍历漏洞。通过异步并发扫描和智能 WAF 绕过技术,帮助
阅读全文一款开箱即用的windows工具包- 矛·盾
很多下朋友对Linux很难上手,想在Windows环境下学习,但是很多工具都依赖一定的环境,上手困难,因此本文为大家推荐一款开箱即用的windows“肾透”测试环境。作者官网: https://arc
阅读全文漏洞赏金工具 v1.0
工具介绍漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。功能演示主界面主要特性 美观的图形
阅读全文安服仔某渗透项目实战
作者:小黑原文:https://zone.huoxian.cn/d/912前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。一、漏
阅读全文利用微软工具击败windows自带的防御系统
本⽂由⽩帽师傅Fiend-0225分享,通过微软发行的procmon的驱动任意读写,对windows的自带杀软进行根文件篡改,从而破坏掉windows自带的安全防御能力,实现以子之矛,攻子之盾的效果。
阅读全文蓝队IP封禁Tools工具
工具介绍BT_SuperTools,蓝队IP封禁Tools工具功能介绍支持多种防火墙设备统一管理(H3C,QAX,SXF,山石,K01,DP等)网防K01提供黑名单批量查询、添加、删除功能支持 IP
阅读全文一个非常牛叉的永久的HW攻防、渗透测试知识库
面对大厂面试官抛出的最新攻防场景题时哑口无言;hw行动中因缺乏一手情报而被动挨打;漏洞爆发时全网搜索的 POC/EXP 却早已失效;看着同行手握甲方 / 乙方的规范模板与资源文档,快速推进项目却只能暗
阅读全文微信小程序自动化辅助渗透工具e0e1-wx更新!V2.0
工具介绍还在一个个反编译小程序吗?还在自己一个个注入hook吗?还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露注:本工具仅用于学习参
阅读全文网络安全行业最值钱的10张证书!2025年考这些薪资翻倍!
网络安全认证证书是专业资质凭证,主要用于证明个人或机构在信息安全领域的技能水平和合规能力。网络安全从业者考证是职业发展的关键路径。证书体系化梳理知识盲区,弥补实战经验的理论短板,同时验证技术能力符合国
阅读全文毫秒级浏览器指纹识别插件
插件简介@24师傅给发的一个他写的基于已收集指纹库进行识别网站指纹的浏览器插件,说适合手工打点,能毫秒级出指纹,我现在搞的少,分享给需要的人。插件原理基本架构插件采用Chrome扩展的标准架构,包含以
阅读全文网络空间资产搜索工具 - CScan
介绍CScan 是一个基于Go语言开发的网络空间资产搜索工具,支持多个主流网络空间搜索引擎,能够快速搜索IP、域名等资产信息。项目背景在信息收集的时候,经常需要处理大量IP地址、域名和企业名称等资产信
阅读全文对某旅行APP的逆向分析
目标APP 采用了很多开源库进行改写,怀疑下一步就是拿开源ssl.so在so里进行自写TCP发包了protobuffer 解析是 io.protobuf 自写魔改了(字段处理)压缩使用了两套方案, Z
阅读全文XX职业学院存在任意密码重置
原文链接:https://zone.huoxian.cn/d/2822-xx作者:GoTTY学校站点渗透测试思路这个是三年之前挖掘到的漏洞,目前网站进行重构做了全新的改版,但是这个漏洞特别经典,也是我
阅读全文一次就学会网络钓鱼“骚”姿势
作者: obse****转载于先知社区:https://xz.aliyun.com/news/12128一、什么是网络钓鱼网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感
阅读全文一款全方位扫描工具 - Milkyway
工具介绍一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能。纯go实现的协议识别丰富的扫描模式支持端口扫描的乱序 (目标越大,速度越快,准确度越高)release默认
阅读全文一个漏洞挖掘小工具 - SeeMore
介绍1、在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的,然后提交漏洞后他进行了修复。2、但是程序员只是将导入功能的元素添加"di
阅读全文