跨平台版中国菜刀:Cknife介绍

Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正实用的跨平台类似的菜刀,然后可惜代码是个渣渣一直可望而不可即,后续随着公司业务增多,大多数目标都有WAF,于是就想写一款完全脱离工具,只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月,除了打飞机的时间基本就在写这货了,这里要感谢...

- 阅读全文 -

利用系统漏洞男子盗1300万 花400多万打赏女主播

21岁的男子胡某在购买优酷会员礼包时发现,在自己账户余额不足时,支付宝平台会向其账户退款。于是从2015年9月起,胡某利用自己偶然发现的这一系统漏洞,半年里窃取优酷网所属的合一信息技术(北京)有限公司(下称合一公司)10余万笔资金,共计1300余万元。 如此巨款,胡某除了自己消费挥霍外,还拿出其中的400多万打赏了网络直播网站的女主播,其中最多的一次,“赏”了女主播5万元。今天上午,市一中院开庭审...

- 阅读全文 -

Linux下暴力破解工具Hydra详解

Number one of the biggest security holes are passwords, as every password security study shows. Hydra is a parallized login cracker which supports numerous protocols to attack. New modules are easy to...

- 阅读全文 -

phpmyadmin新姿势getshell

旁白:在一个有WAF、并且mysql中的Into outfile禁用的情况下,我该如何getshell? 首先环境如下: OS:Windows 2003 WAF:Safe Dog 4.0正式版 phpmyadmin:4.7(许多都可以) Mysql:5.5+ PHP:5.3 Apache:2.x 目前 into outfile 已经被禁用,并且WAF也会在写入文件的时候拦截。 那么我们尝试通过一个...

- 阅读全文 -

使用sqlmap中tamper脚本绕过waf

0x00 背景 sqlmap中的tamper脚本来对目标进行更高效的攻击。 由于乌云知识库少了sqlmap-tamper 收集一下,方便学习。 根据sqlmap中的tamper脚本可以学习过绕过一些技巧。 我收集在找相关的案例作为可分析什么环境使用什么tamper脚本。 小学生毕业的我,着能偷偷说一下多做一些收集对吸收知识很快。 0x01 start 脚本名:apostrophemask.py 作...

- 阅读全文 -

常见Web源码泄露总结

背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现。   .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.example.com/.hg/ 漏洞利用: 工具: dvcs-ripper rip-hg.pl -v -u http://www.example.com/.hg/ .git源码泄漏 漏洞成因: 在运行gi...

- 阅读全文 -

Layer子域名挖掘机4.2纪念版 增加功能

更新内容如下: 1、降级.NET版本至4.0,因之前有人反馈WIN2003无法使用,因为2003不能安装.NET4.5,现在win2003及XP都可以正常使用。 2、增加获取web服务器信息的功能,如果在渗透过程中,担心软件自动访问web服务器会记录到web日志,可以关闭获取WEB服务器信息功能,但是如果干特别大的坏事,人家还是可以通过运营商的渠道来抓你。 3、增加线程控制,因有不少人反馈,开全速...

- 阅读全文 -

免费Zend 5.2 5.3 5.4解密工具

最近在读一些有zend 5.4加密的代码,之前的黑刀无法解密5.4,网上找了下发现大多要收费,有一个工具叫G-DeZender能解5.4,但是未付费版本每点一次只能解密一个文件,这TM四五千个文件点完会死人的。 丢给公司的小莫同志研究了下,抓了下这个程序的进程,发现这个程序也是调用的本地文件去解密,那直接写个循环调用不就完了。。。 花了点时间抄了个SeayDzend,支持zend 5.2,zend...

- 阅读全文 -

PentestBox简明使用教程

0x01介绍 PentestBox:渗透测试盒子 顾名思义,这是一个渗透工具包,但是不同于绝大多数国内xx工具包的是,这里集成的大都是Linux下的工具,Kali Linux上面的常用的很多工具这里面也都集成了。 PentestBox官网:https://pentestbox.org/zh/ 官方的介绍如下: PentestBox是一款Windows平台下预配置的便携式开源渗透测试环境 为什么又有...

- 阅读全文 -