都快2023年了，你真的懂网络安全吗？ 这几年随着我国《国家网络空间安全战略》《网络安全法》《网络安全等级保护2.0》等一系列政策/法规/标准的持续落地，网络安全行业地位、薪资随之水涨船高。当你开始在网上搜索关于网络安全的学习资料，常常会陷... 2022-11-3 08:5:7 | 阅读: 16 | 收藏 | 橘猫学安全 安全 网络 攻防 渗透

渗透测试之信息收集 0x01 前言系统漏洞->中间件漏洞->web漏洞信息收集分为:主动信息收集和被动信息收集·主动信息收集：主动信息搜集是与目标主机进行直接交互，从而拿到我们的目标信息。·被动信息收集：不与目标主机进行... 2022-11-2 00:1:7 | 阅读: 30 | 收藏 | 橘猫学安全 信息 爆破 端口 漏洞 嗅探

攻击者最喜欢的漏洞有哪些？ 作者：Avenger，转载于freebuf.com。Cognyte 对全球的活跃攻击者进行了大规模的研究，也对地下论坛进行了深入的跟踪与分析。借此了解攻击者的行为模式与常用的漏洞，帮助防守方洞察理解攻... 2022-10-31 11:51:38 | 阅读: 20 | 收藏 | 橘猫学安全 攻击 漏洞 攻击者 犯罪 青睐

webshell生成(绕过)工具 -- webshell-bypassed-human 一、过人 webshell 的生成工具» python hide_webshell.pyusage: hide_webshell.py [-h] -pf PAYLOAD_FILE [--pro] [-... 2022-10-31 11:51:35 | 阅读: 21 | 收藏 | 橘猫学安全 php payload tr0y pf macr0phag3

记一次对某站点详细的渗透测试 前言最近在尝试冲刺排名，恰好本次渗透中的东西可以拿来做一些分享，希望可以给大家提供一些思路，有什么不对不足的地方，希望各位师傅斧正，本文所涉及的漏洞均已提交至src平台。正文0x01 任意用户注册像这... 2022-10-29 00:0:49 | 阅读: 18 | 收藏 | 橘猫学安全 数据 漏洞 绕过 信息 payload

红蓝对抗自动化利用工具整理 工具来源：github优秀项目整理 半/全自动化利用工具项目简介项目地址项目名称一条龙服务，只需要输入根域名即可全方位收集相关资产，并检测漏洞。也可以输入多个域名、C段IP等，具体案例见下文。http... 2022-10-29 00:0:34 | 阅读: 17 | 收藏 | 橘猫学安全 github 自动化 漏洞 信息 端口

实战 | 记一次授权的渗透测试 1、帝国CMS 后台GETSHELL图书馆的一个系统，为开源CMS修改的，然后通过版本探测与其他的信息收集，发现那个版本好像有一个getshell，不过是后台的，尝试一下，账号admin密码12345... 2022-10-28 00:1:59 | 阅读: 52 | 收藏 | 橘猫学安全 漏洞 upurl php uzju 远程

干货｜网络安全资料情报库 这是一个网安人的聚集地～为解决大多粉丝的提问，以及资源需求，特此联合几位师傅创办了知识星球；知识星球已经运营一年多，内容大致为：（1）每日分享资料与工具，并进行了分类（2）创办了作业模块，偶尔发布作业... 2022-10-28 00:1:46 | 阅读: 16 | 收藏 | 橘猫学安全 给与 星主 创办 模块 合伙人

浅谈渗透测试与漏洞扫描 众所周知，等级保护测评过程中，包含了多项指标的测评，其中还伴随着漏洞扫描和渗透测试。作为维护企业安全的两种不同类型，漏洞扫描和渗透测试的重要性经常会被混淆。在等保合规建设中，是选择漏洞扫描，还是选择渗... 2022-10-27 00:2:25 | 阅读: 22 | 收藏 | 橘猫学安全 漏洞 渗透 安全 网络 信息

神兵利器 | 日常渗透刷洞的一些小工具 2022-10-27 00:2:17 | 阅读: 37 | 收藏 | 橘猫学安全 nuclei github pocscan wanli 渗透

渗透测试之windows系统提权总结 转自：乌雲安全起因，由于前几天拿了一个菠菜站的webshell，但是只有iis权限，执行无法创建用户等操作，更无法对整个服务器进行控制了，于是此时便需要提权了，对于一个刚刚入门的小白来说，此刻真正意识... 2022-10-26 00:1:1 | 阅读: 19 | 收藏 | 橘猫学安全 端口 v01cano 数据 数据库 大马

新一代子域名收集工具【文末抽书】 项目描述Sylas(塞拉斯)是我很喜欢的一款游戏《英雄联盟》(League of Legends)里的英雄。他在面板数值已经足够可观的情况下，其终极技能其人之道又能窃取其他英雄的终极技能为己用。我觉得... 2022-10-26 00:0:55 | 阅读: 25 | 收藏 | 橘猫学安全 数据 数据库 bscan 安全 渗透

某企业邮箱攻击面之密码喷洒 漏洞打点越来越难，最近整起了邮箱钓鱼，自建MX Server搭配GoFish可以满足大部分，提前养好域名也能投递到目标非垃圾箱邮箱，但是有一个内部邮箱才是一个神挡杀神的存在，分析了腾讯企业邮箱的登录逻... 2022-10-25 00:2:10 | 阅读: 38 | 收藏 | 橘猫学安全 form1 加密 modulus publickey 安全

神兵利器 | 分享个新发现的GUI批量刷洞Tools（附下载） Github地址：https://github.com/W01fh4cker/Serein该项目仅供授权下使用，禁止使用该项目进行违法操作，否则自行承担后果，请各位遵守《中华人民共和国网络安全法》！！... 2022-10-25 00:2:5 | 阅读: 53 | 收藏 | 橘猫学安全 serein 漏洞 github w01fh4cker 爆破

Docker足够安全吗？ Docker 是现在的开发人员都已经很熟悉的平台。它使得我们可以更容易地在容器中创建、部署和运行应用程序。所需的依赖会被“打包”并且以进程的方式运行在主机操作系统上，而不是像虚拟机那样为每个工作负载都... 2022-10-24 00:1:54 | 阅读: 22 | 收藏 | 橘猫学安全 容器 镜像 安全 二进制 端口

记录一次实战，注入+本地JS绕过拿shell 1.找注入点2.测试是否有注入：http://xxxxxx/xxxx.php?id=6’ ,没有回显输入：http://xxxxxx/xxxx.php?id=6 and 1=1 有回显，and 1 =... 2022-10-24 00:1:50 | 阅读: 33 | 收藏 | 橘猫学安全 php 注入 渗透 爆破 sqlmap

获取远程主机保存的RDP凭据密码 拿下一台运维机，上了个CS，发现曾经连接过几台服务器并且保存了凭据，网上查了圈发现CS不支持交互式mimikatz，记录下获取远程主机RDP凭据。Windows保存RDP凭据的目录是C:\Users\... 2022-10-22 00:4:15 | 阅读: 30 | 收藏 | 橘猫学安全 mimikatz masterkey 爆破 microsoft 渗透

IP资产风险发现工具 -- IPWarden 一、工具介绍IPWarden是一个IP资产风险发现工具，确定目标IP/网段后即可循环扫描更新结果，扫描产生的数据结果均可通过API获取，方便调用加工。适合甲方安全人员管理公网/内网资产安全风险暴露面，... 2022-10-22 00:4:11 | 阅读: 53 | 收藏 | 橘猫学安全 端口 数据 数据库 ipwarden masscan

渗透测试、SRC漏洞挖掘、爆破、Fuzzing等字典项目合集 收集一些常用的字典，用于渗透测试、SRC漏洞挖掘、爆破、Fuzzing等实战中。收集以实用为原则。目前主要分类有认证类、文件路径类、端口类、域名类、无线类、正则类。涉及的内容包含设备默认密码、文件路径... 2022-10-21 00:2:20 | 阅读: 15 | 收藏 | 橘猫学安全 渗透 爆破 端口 绕过 利器

渗透测试工具--Satania【文末赠送-Web渗透测试新手实操详解】 一、工具介绍这是一款半自动渗透测试的工具，当前版本多用于渗透测试的信息搜集，每周保持更新，最终的目标是类似于linpeas的全自动渗透测试信息搜集工具，并探测其存在哪些漏洞二、安装与使用1、给脚本最大... 2022-10-21 00:2:17 | 阅读: 20 | 收藏 | 橘猫学安全 渗透 中奖 nmap 信息 安全