密码重置 将Host替换为你的服务器 Host: attackers-domain.com 双主机头绕过 修改Host被WEB程序或WAF拦截时,在请求中添加第二个Host,可能会绕过WAF. Host: target.com Host: attackers-domain.com X-Forwarded-Host 在X-forwarded-Host中添加你控制的域 Host: target.com...

- View all -

前台RCE 信息收集老生常谈了,不多赘述 注册需要邀请码 a-z 0-9 从四字符开始爆破 注册成功,在添加钱包地址二维码处上传 正常上传图片,前端输出图片路径 直接上传php文件失败,修改Content-Type值,失败 图片一句话成功上传,只判断了文件类型,没有判断后缀。 上传一张图片并下载,一句话合并此图片绕过渲染 尝试连接 失败 访问文件看看 ??? 图片200 php脚本403 Bypa...

- View all -

以下为某APT组织木马样本分析 木马在运行之后会通过光标移动特征、硬盘大小、适配器地址判断是否为沙箱环境 并使用DLL反射加载,后将文件属性设为隐藏 filepath:C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\HMJ5SQMT filepath_r:C:\Users\Administrator\AppDa...

- View all -

十亿余条公民信息及几十余亿*情数据以10BTC的价格在某黑客论坛出售. 泄露数据文件大小23.88TB 泄露内容分别为*情数据,(报*时间、报*电话、报*人描述、经纬度等)、居民数据(姓名、性别、年龄、出生地、身份证、照片)地址、手机号码等. 据信,此次泄露为某国家机构公网服务存在安全问题所致. 黑鸟微博: 论坛帖子: 泄露样本:

- View all -

Telegram 电报社工库机器人注销ID? 中国免费社工库机器人@Freesgkbot 已被封禁,俄罗斯社工库机器人@EyeGodsbot 已被封禁. 如何判断telegram机器人是否为官方封禁? ID均已注销但ID均为被占用状态 正常情况下在Telegram Botfather删除bot后,bot用户名为可用状态 经测试,用户名均为占用状态,故此次注销为官方封禁,可能与中俄执法部门有关. 二...

- View all -

目前仅有Windows原包 新功能 JAVA IAST 传感器现在支持 JBoss、Jetty 和 Wildfly JAVA 服务器 改进了对 Servlet3 和 Jersey JAVA 框架的支持 更新漏洞检查 更新 IAST 检查表达式语言注入 更新 IAST 检查Hibernate 查询注入 Apache OFBiz Log4Shell RCE的新测试( CVE-2021-44228 ) ...

- View all -

该项目使用python开发,并使用Tor Installation Clone the repo $ git clone https://github.com/samet-g/tornado.git Setup tornado with requirement packages. $ sudo python3 setup.py install Run it with sudo permission...

- View all -

虽然ajax搜索看起来很舒服,也很方便,但流量过大时非常占用服务器资源。 加验证码就失去了它的便捷,没有意义。因此一直想把博客改为纯静态。 不占用服务器资源的同时也避免了小规模CC攻击的威胁。 具体实现可参考: https://blog.csdn.net/dream_mocking/article/details/6081458  

- View all -

项目地址 https://github.com/s0md3v/Arjun 当我们发现敏感文件,且前端没有找到传递参数时,可以使用此工具模糊测试.   python arjun.py -u https://api.example.com/endpoint --get or --post -t 1 线程 -d 1延迟 --headers 请求头  

- View all -