unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Rss
黑夜模式
一款快速插入Webshell、复现漏洞的BurpSuite插件
前言1、在渗透测试或挖 SRC 的时候每次都需要在笔记中复制一些 Payload 或 Webshell 内容觉得太麻烦了,所以打算 抄一个 Burpsuite 插件,直接在 Burpsuite 中插入...
2022-12-23 10:31:45 | 阅读: 19 |
收藏
|
菜鸟学信安
笔记
payload
yuyan
渗透
漏洞
简单操作实现冰蝎jsp webshell 阿里云免杀
前段时间模仿csroad师傅思路写了一个webhsell免杀生成工具但在某云 webshell检测平台败北,无意间在先知社区文章评论下发现一个哥斯拉的免杀思路,虽然当时给出的哥斯拉webshell已被...
2022-12-23 10:12:5 | 阅读: 30 |
收藏
|
黑白之道
pagecontext
免杀
安全
绕过
先知
记一次某集团渗透实战
这是一个跨越一年的渗透测试,这里说的跨越一年不是用时一年,而是已经过了一年多,我再次对该集团进行渗透测试,而这次渗透的过程中发现该集团增加了不少资产,这也是它成为目标的原因。 第一次的话是挖掘到了他们...
2022-12-23 10:12:2 | 阅读: 24 |
收藏
|
黑白之道
工号
账号
渗透
爆破
漏洞
盘点2022年十大云安全事件
最近的一份报告显示,在过去的12个月里,80%以上的组织都遭遇过与云相关的安全事件。以下是2022年十起最大的云安全事件。美国数字化调度平台FlexBooker遭遇数据泄露,威胁分子闯入其AWS(亚马...
2022-12-23 10:11:58 | 阅读: 15 |
收藏
|
黑白之道
数据
信息
安全
攻击
窃取
张小龙推出微信键盘,不为市场只为保护用户隐私;GitHub与微信达成合作帮助防护用户隐私
张小龙推出微信键盘,不为市场只为保护用户隐私12月19日,微信键盘 1.0.0 正式版发布,用户可从各大应用商店下载。与其他第三方输入法类似,用户首先需要下载微信键盘,并在设置中开启微信键盘,且将输入...
2022-12-23 10:11:54 | 阅读: 15 |
收藏
|
黑白之道
输入法
腾讯
github
搜狗
apiv2
中国科大在蓝牙协议方面发现重要安全漏洞
12月23日,星期五,您好!中科汇能与您分享信息安全快讯:01鞋类品牌Ecco在500天内泄露超60GB敏感数据近期研究人员发现全球鞋类制造商和零售商Ecco,在500天内暴露了数百万份敏感文件,共计...
2022-12-23 09:52:1 | 阅读: 14 |
收藏
|
汇能云安全
安全
漏洞
数据
黑客
攻击
【Windows Access Token以及利用方法】
关于Windows Access TokenWindows Access Token(访问令牌),它是一个描述进程或者线程安全上下文的一个对象。每个用户登录计算机都会产生一个AcessToken以...
2022-12-23 09:14:51 | 阅读: 16 |
收藏
|
电子物证
luid
tkp
htoken
privileges
【Windows 密码破解比较】LM、NTLM、DCC 和Windows Hello PIN
目前常见版本的 Windows 有许多不同类型的帐户。本地 Windows 帐户、Microsoft 帐户和域帐户,有着不同类型的安全保护机制。还有带有 PIN 码的 Windows Hello,...
2022-12-23 09:14:47 | 阅读: 25 |
收藏
|
电子物证
windows
哈希
破解
攻击
microsoft
【如果电子证据丢失、损坏或销毁怎么办?】
1在各类案件中,如果证据被损坏或销毁将会徒增案件追查的难度。随着网络科技的发展,计算机信息技术能恢复电子数据案发当时的场景,这让原始电子证据不再让有效证据沉默。2019年1月2日,公安部发布了《公安机...
2022-12-23 09:14:44 | 阅读: 7 |
收藏
|
电子物证
数据
民警
信息
犯罪
记录一次某某科技大学树洞分析
从发现开始,会比较啰嗦而且长。上班闲着蛋疼,无意中发现该学校树洞里面分享的一些看着挺有趣的。但评论和点赞都需要登录,我们到注册页面看看。发现是一串+上@xxx.xxx一看就是邮箱注册。我们随便填一些东...
2022-12-23 09:9:47 | 阅读: 45 |
收藏
|
编码安全研究
信息
小可爱
捷径
走捷径
咋办
CVE-2021-43444 到 43449:利用 ONLYOFFICE Web 套接字进行未经身份验证的远程代码执行
大约 18 个月前,我正在对一个文档管理平台进行渗透测试。它的设计目标是为一些高影响力的用例提供安全的文档存储和共享解决方案。为了允许类似 MS Office 的文档编辑,系统使用 ONLYOFFIC...
2022-12-23 09:2:25 | 阅读: 15 |
收藏
|
Ots安全
onlyoffice
libpthread
海康威视预认证log4j Poc
用法:python3 hik.py hikvisionURL collaboratorAddress:porte.g. python3 hik.py https://localhost:443 xxx...
2022-12-23 09:2:22 | 阅读: 32 |
收藏
|
Ots安全
hikvision
hik
collabaddr
推荐一款资产收集平台
可根据公司名子进行搜索全部存在的系统资产,当然挖src也是一个很好的辅助工具,例如下图:信息系统、移动端应用、邮箱、代码/文档、域名、人员点击所属信息系统,可获得下图的全部关于需要搜索的资产,省去了很...
2022-12-23 09:2:18 | 阅读: 60 |
收藏
|
Ots安全
信息
省去
invite
qzrlbs
Gamaredon APT针对北约某国的大型炼油厂——每周威胁情报动态第109期(12.16-12.22)
APT攻击Gamaredon APT针对北约某国的大型炼油厂响尾蛇组织近期攻击活动简报APT28试图渗透美国卫星网络UAC-0142通过钓鱼攻击乌克兰Delta军事情报系统披露Kimsuky的样本数据...
2022-12-23 09:2:18 | 阅读: 37 |
收藏
|
白泽安全实验室
攻击
数据
安全
网络
信息
实战|记一次对钓鱼网站的实验
钓鱼网站+persistence植入后门程序+创建用户本实验实现1:利用MS14-064漏洞,会生成一个网址,诱导用户点击,打开后,会直接连接到发起攻击的主机上,即可攻击成功。本实验实现2:一旦入侵成...
2022-12-23 09:2:18 | 阅读: 25 |
收藏
|
亿人安全
攻击
漏洞
模块
payload
后门
有趣的 Go HttpClient 超时机制
我是既写 Java 又写 Go 的小楼,在写 Go 的过程中我经常对比这两种语言的特性,踩了不少坑,也发现了不少有意思的地方,今天就来聊聊 Go 自带的 HttpClient 的超时机制。在介绍 Go...
2022-12-23 08:54:51 | 阅读: 14 |
收藏
|
Go语言中文网
机制
client
cancel
数据
deadline
红队渗透边界打点工具
前言红队渗透中最重要的环节之一就是边界打点了,也就是我们常说的信息收集。下面就来为大家分享下红队边界打点常用的工具以及一些技巧。网络空间四大引擎Fofahttps://fofa.info/Quakeh...
2022-12-23 08:32:24 | 阅读: 83 |
收藏
|
天驿安全
github
打点
internetdb
边界
信息
记一次站库分离的内网渗透
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
2022-12-23 08:32:24 | 阅读: 28 |
收藏
|
潇湘信安
端口
windows
dmz
phpstudy
ew
一个漏洞Poc知识库
一个网络安全爱好者对网络上一些已知漏洞payload的收录,持续更新。作者:Cuerz下载地址:https://github.com/Cuerz/PoC-ExP扫码加我好友进群微信号:stonefor...
2022-12-23 08:32:23 | 阅读: 26 |
收藏
|
HACK之道
cuerz
网络
payload
github
stonefor345
CVE-2022-24637 未授权RCE漏洞(附EXP)
本文主要教大家如何配置Ladon的INI插件,实现快速批量验证POC。该漏洞除了练手或提交SRC,可能没什么用,OWA登陆界面如下Ladon插件 CVE-2022-24637.iniINI插件最大的优...
2022-12-23 08:30:0 | 阅读: 103 |
收藏
|
EchoSec
owa
username
proxies
proxy
temppass
Previous
975
976
977
978
979
980
981
982
Next