速进!大量安全项目等你来
声明:2群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CC
阅读全文同源异梦:JWT 泄露后从主站到旁站的渗透曲线
发现过程测试时第一步肯定是访问网站,然后点开熊猫头看是否有泄露,很凑巧这里只泄露了jwt。开始拼接口,拼路径,但是最后得到的也仅仅是401。走到这一步肯定是登录框爆破,或者fuzz看是否有未授权,都试
阅读全文速进!大量安全项目等你来
声明:2群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CC
阅读全文性能怪兽级日志可视化工具
🌟 一句话卖点“超大日志文件秒级打开、节点状态实时可视、正则搜索即刻高亮——性能、交互、体验全拉满!”📊 功能速览模块亮点性能/体验指标日志分析可视化任务流程、节点状态实时展示、识别/动作详情卡片、节
阅读全文集成 15 000+ PoC 的“万能扫描怪兽”
🧨 一句话卖点“把 nmap、nuclei、masscan、naabu、subfinder、ksubdomain、xray、filefuzz 全部塞进一个二进制里,并做了代码级优化”📊 极限数据维度数
阅读全文FireKylin(火麒麟)| 国产应急响应“0命令”痕迹采集神器
🌟 一句话亮点“不会上机的新手,也能在5分钟内完成主机痕迹采集与安全研判。”📋 速览目录项目背景核心能力版本更新(含v1.4.0特大更新)下载与安装使用教程(3步上手)场景对比(传统 vs FireK
阅读全文Onyx – 基于 Wails v2 + Vue 3 的跨平台渗透「瑞士军刀」
🚀 项目速览技术栈版本平台Go≥ 1.20Windows / macOS / LinuxVue3 + Vite统一原生体验Wailsv2单文件绿色发布🎯 核心卖点All-in-One 工作台 – 把常
阅读全文震惊!2026年红队三大“黑客AI武器”曝光:第一款已会自我思考,最后一款让Burp Suite用户集体破防!
项目简介Hetty 是一款使用 Go 语言开发的开源 HTTP 工具包,专为安全研究和渗透测试设计。作为 Burp Suite Pro 的开源替代方案,它提供了完整的中间人攻击(MITM)代理功能、H
阅读全文手把手拆解:小程序/Web端加密鉴权绕过案例全复现
本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态调试、JS逆向与脚本复现,精准定位加密逻辑、还原签名算法,并最终实现越权访问、信息遍历与账号接管
阅读全文速进!大量安全项目等你来
声明:2群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CC
阅读全文记一次攻防演练实战直达内网
0x01 外网打点资产发现多测绘平台搜索https://hunter.qianxin.com/https://fofa.info/https://quake.360.cn/多语法搜索假如某个目标站点为
阅读全文速进!大量安全项目等你来
声明:2群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CC
阅读全文应急响应太慢被老板骂?这款Rust神器让你的Linux服务器固若金汤,效率暴涨300%!
📖 项目简介 LovelyERes (Lovely Emergency Response) 是一款专为快速服务器管理和应急响应✨ 功能特性🎯 核心功能SSH终端管理: 多会话SSH终端,支持SFTP文
阅读全文全网首个支持 MCP 协议 + AI 自我反思机制的红队资产测绘智能体
一句话定位❌ 不是简单的 FOFA 查询工具❌ 不是 Nuclei 扫描器的命令行封装✅ 真正的 AI 驱动资产测绘智能体——可被 AI 接管、具备自我反思与决策能力核心特性🤖 AI 智能决策引擎只需
阅读全文凌晨3点,我的AI小龙虾自己找到了RCE
🚀 一键部署 OpenClaw:你的私人 AI 助手> 支持多平台部署,集成 Claude/GPT/Gemini 等主流模型,5分钟完成配置💻 系统要求项目要求系统macOS 12+ / Ubuntu
阅读全文专为红队作战设计的高价值资产精准识别引擎
项目简介 ______ __ ______ / ____/___/ /___ ____/_ __/__ ____ _____ ___ / __/ / __
阅读全文Sentinel – AI赋能的跨平台应急响应自动化分析工具
⚡ 工具定位Sentinel是一款专为安全团队打造的应急响应自动化分析工具,集成系统信息收集、持久化检测、日志分析、网络排查等核心功能,并引入AI智能分析引擎,让威胁发现变得前所未有的简单高效。🚀 主
阅读全文某大型oa前台0day挖掘
漏洞sink发现(任意zip文件下载)1.想要寻找文件下载相关的漏洞,自然的联想到下载相关的请求头写法:response.setHeader("Content-Disposition",2.将Lib文
阅读全文记录比较有意思的几个漏洞挖掘事件
sql注入某条数据,点击详情的数据包,单引号报错再加一个正常本以为是一次平平无奇的sql注入,没想到绕了一天才绕过去,下面放几张测试失败的截图首先就是404,不知道规则是啥样的,下面语句应该是没问题的
阅读全文记一次SSRF+文件上传组合拳:复盘我是如何组合漏洞一步步Getshell的
0x01 druid弱口令1.前期对这个web应用做信息收集时,没有收集到任何有用的信息,它看上去就像是一个简单静态页面展示(这里就不截图展示了,厉害的大佬能根据页面找到这个web)。但是当我打开浏览
阅读全文分布式资产安全扫描平台
⚡ 项目定位SEC (SEC Is Elastic Controller) 是一款面向企业服务器资产的安全扫描排查工具,专为解决以下痛点设计:扫描不可控:传统工具一旦启动无法暂停,影响业务单机性能瓶颈
阅读全文T-Pot – 企业级一体化多蜜罐平台
⚡ TL;DR(30 秒极速安装)# 1. 准备系统:8-16GB 内存 / 128GB SSD / 直连互联网# 2. 安装最小化 Linux(推荐 Ubuntu 24.04 Server)# 3.
阅读全文ASPS – 智能安全运营中心并行仿真平台
⚡ 一句话定位ASPS 不是扫描器,不是 SIEM,而是一个完整的虚拟 SOC 战队——紫队造攻击、蓝队写规则、分析引擎跑检测、分类取证建图谱、指挥官做决策、记者写报告,全流程无人工干预,并行仿真自我
阅读全文字节跳动开源云原生安全平台
⚡ 一句话定位Elkeid 是字节跳动内部实践的开源版云工作负载保护平台(CWPP),集 HIDS + RASP + K8s 审计 于一体,单平台解决多云、云原生场景下的入侵检测、风险感知、资产收集需
阅读全文一次信息泄露到越权支付的实战
前言这是一次小程序的漏洞挖掘,漏洞在测试期间已上报思路访问排行榜从数据包中可以看到openid泄露,这里其实泄露了很多openid,为了方便只截了一个,接下来配合积分兑换越权使用他人账户兑换物品Bur
阅读全文速进!年后大量安全项目
声明:2群满了,➕名片,备注项目群,然后的话就可以进群了承接:CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CC
阅读全文浏览器流量被动嗅探与溯源反制神器
⚡ 一句话核心功能被动监控浏览器所有流量,实时提示目标框架漏洞、拦截蜜罐 JSONP 请求、清除浏览器持久化特征,全程无感、零配置开箱即用。📦 极速安装(30 秒)GitHub Releases 下载
阅读全文