登陆 注册
  • 遇到一个骗子,发现一个骚思路!

    十年十年 2020-03-11

    事情的开始是这样的,前几天的时候,QQ 响起来了,一位朋友找我帮个忙,聊天记录见下图。聊到我说我也没卡哪里,我也没有起疑心。因为他经常找我帮他在TaoBao买个东西啥的。不过,我心里再仔细一想,聊天有点不对劲啊。他今天怎么没叫我龙哥?我就马上WX问他说你号是不是被盗了,他说是的。然后就知道原来对面是个骗子,于是我就开始…嘿嘿嘿于是,我赶紧就百度随便找了一个卡...

  • 漏洞挖掘之爆破的艺术

    googxxoogoogxxoo 2020-03-10

    oxo1 暴力破解偶遇302跳转在进行暴力破解登录框的时候、发现第一个验证码是正常的、后面全部验证码错误、查看302的返回包尝试直接用上方这个链接爆破、发现此链接可以直接绕过验证码来进行暴力破解。(成功的图当时没保存)然后顺带讲一下,有时候爆破会遇到多个302跳转BurpSuite有一个设置可以跟随跳转oxo2 暴力破解用户名的方法爆破用户名的位置:登录、注...

  • 【原创】教你搭建一个免费好用的代理池项目

    星辰星辰 2020-03-10

    作者:小仙人 引言:为什么需要代理池呢?那是因为我们日常在渗透测试的过程中,使用扫描器或者频繁访问站点会触发网站的反爬机制,最典型的反爬手段就是把你的IP给Ban了,一旦IP给Ban了,那么你就无法正常进行渗透了。这个时候就需要用到代理池了。当然,如果你的VPN节点足够多也可以解决这个问题,再或者使用黑洞代理,动态切换IP,但是这些手段都要收费。本...

  • CVE-2020-1938:Apache Tomcat文件包含复现

    星辰星辰 2020-03-10

    本文作者:Loading(Timeline Sec复现组成员)本文共843字,阅读大约需要2~3分钟声明:请勿做非法用途,否则后果自负0x01 简介Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。0x02 漏洞概述由于Tomcat默认开...

  • 代码审计 | zzcms8.2

    BY残年BY残年 2020-03-10

    前言代码审计,最重要的就是多读代码,对用户与网站交互的地方要特别注意。在进行审计时,我们也可以使用一些审计工具来辅助我们进行工作,从而提高效率。下面,笔者将分享审计zzcms8.2的过程,与大家一起学习。这里,笔者,使用seay源代码审计系统软件进行辅助工作。1.2.1审计流程首先,笔者打开seay源代码审计系统软件,将要审计的网站源码导入项目,然后点击自动...

  • 利用今日头条做C2

    CDL路飞CDL路飞 2020-03-10

    本文主要抛砖引玉,提供思路。前言在之前做的项目中,网络环境比较严格,只能访问个别信任的网站(如:百度首页、今日头条、百度新闻等),像百度贴吧、简书、cnblog等都禁止访问。这时我们上线就成了一个问题。思路画了一张简约图,根据图更易懂。控制端被控端我们利用发表微头条功能是因为微头条不需要审核且无需验证码判断内容长度是因为留言长度有限且微头条长度最长是2000...

  • 从一些常见场景到CSRF漏洞利用

    googxxoogoogxxoo 2020-03-09

    0x00 前言闲来无事,开启了CSRF漏洞的学习之旅。并记录一下学习笔记!0x01 CSRF漏洞简介对web客户端的攻击,除了XSS以外,还有一个非常重要的漏洞就是CSRF。CSRF最关键的是利用受害者的Cookie向服务器发送伪造请求。1.CSRF漏洞概念CSRF(Cross-site request forgery,跨站请求伪造),也被称为“One Cl...

  • DIY | 树莓派搭载kali Linux

    安云安云 2020-03-08

        受疫情影响,宅在家的时间多了起来,年前购买的树莓派4B(Raspberry Pi)也终于有空倒腾一番。在去年的某大型攻防演习行动中,听说过无人机+树莓派进行无线wifi攻击的神操作,惊为天人,一直想动手试一试,今天就先在树莓派中装上渗透利器kali Linux。0x01 关于树莓派     ...

  • 新版burp-loader-keygen-2.jar

    安云安云 2020-03-08

    burpsuite_pro_v2020.2.jarMD5     7c0f110e3644300a789759f87f6f8191SHA256  4c8579a8f4417ccc682690cb7bf53f37818e5e6ca85812286674f754d9face21https://www.virust...

  • 无密码登录他人QQ空间可查看加密相册

    星辰星辰 2020-03-08

    一、前言本文主要讲解如何窃取已登录QQ或TIM用户的ClientKey(前提是当前电脑的QQ或TIM是登录状态),并悄无声息的获取其QQ或TIM的空间登录权限的链接,然后可以在任意一台电脑上都可以无密码登录其QQ空间,也可以查看其加密相册等。具体的实现流程后期可以优化的更完美,因为时间原因只测试了基本功能的实现。只是提供一种思路,大家可以发散思维,把流程更加...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.