- 博客(29)
- 收藏
- 关注
原创 【工具分享】Nuclei v3.4.1——基于模板的漏洞验证下载方法(附快速下载链接)
【工具分享】Nuclei v3.4.1——基于模板的漏洞验证下载方法(附快速下载链接)
2025-05-02 07:50:15
339
原创 【工具分享】Sirius Scan是一个强大的通用漏洞扫描工具
Sirius Scan是一款企业级的开源通用漏洞扫描工具,它汇聚了来自社区的安全情报资源,集成了丰富的漏洞数据库,并支持网络扫描、基于代理的目标发现以及自定义评估器分析等功能。该工具的设计目的是为了识别并评估贯穿整个IT基础设施内的潜在安全弱点。它提供了直观易用的图形用户界面,适合企业环境下的安全扫描需求;能够灵活地从较小规模的部署扩展至大型复杂的信息技术基础设施中使用。此外,Sirius Scan还提供了详尽的漏洞评估结果及报告功能。
2025-04-30 16:30:52
292
原创 Tomcat Session 反序列化漏洞(CVE-2025-24813)
核心逻辑在这里,以 range.length作为文件的长度,range.start作为起始点开始处理流,这也是为什么 length 必须要大于 body 的总长度,不然无法将内容完全上传。这部分是反序列化触发点,CVE-2020-9484出自这里,所以不难看出这其实是一个组合漏洞,当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法,也就是 doPUT,其实逻辑很简单,如以下代码。
2025-04-11 14:46:45
292
原创 【工具推荐】Hikvision - 一款海康威视综合漏洞利用工具,适用于漏洞挖掘、SRC漏洞挖掘、护网红队、渗透测试,支持一键获取 shell。
【工具推荐】Hikvision - 一款海康威视综合漏洞利用工具,适用于漏洞挖掘、SRC漏洞挖掘、护网红队、渗透测试,支持一键获取 shell。
2024-10-15 15:48:54
1016
原创 【工具分享】XSStrike是一款检测XSS漏洞的高级检测工具,XSS漏洞挖掘神器,渗透必备,SRC挖掘必备,多个SRC挖掘团队都在偷偷使用。
【工具分享】XSStrike是一款检测XSS漏洞的高级检测工具,XSS漏洞挖掘神器,渗透必备,SRC挖掘必备,多个SRC挖掘团队都在偷偷使用。
2024-10-15 15:43:45
529
原创 sysdig-inspect:一款用于容器故障排除和安全调查的开源工具 ,附工具下载链接
sysdig-inspect:一款用于容器故障排除和安全调查的开源工具
2024-09-14 16:36:09
387
原创 Acunetix v24.8 - 29 Aug 2024 高级版漏洞扫描器(最新版) 附Windows/Linux下载链接
Acunetix v24.8 - 29 Aug 2024
2024-09-10 23:42:22
1103
2
原创 【工具推荐】ThinkphpGUI - 一款Thinkphp框架漏洞扫描集合工具,一键getshell。
【工具推荐】ThinkphpGUI - 一款Thinkphp框架漏洞扫描集合工具,一键getshell。
2024-09-10 22:58:38
556
原创 【工具推荐】xia_sql - BurpSuite插件,主要用于判断SQL注入漏洞,多个SRC赏金挖掘大佬都在使用。
【工具推荐】xia_sql - BurpSuite插件,主要用于判断SQL注入漏洞,多个SRC赏金挖掘大佬都在使用。
2024-09-10 22:53:47
843
原创 【工具推荐】WeblogicScan - Weblogic漏洞检测工具,一键getshell。
【工具推荐】WeblogicScan - Weblogic漏洞检测工具,一键getshell。
2024-09-10 22:48:12
351
原创 【工具推荐】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll
【工具推荐】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll
2024-09-09 13:29:23
369
原创 【工具推荐】TPscan(最新版本) - 一键ThinkPHP漏洞检测getshell
【工具推荐】TPscan (最新版本) - 一键ThinkPHP漏洞检测getshell
2024-09-09 13:06:43
825
原创 【漏洞分享】2018年-2024年HVV 6000+个漏洞 POC 合集分享
【漏洞分享】2018年-2024年HVV 6000+个漏洞 POC 合集分享
2024-09-08 11:31:17
610
原创 【工具推荐】FindEverything(最新版) - 内网渗透必备 敏感文件搜索工具
【工具推荐】FindEverything(最新版) - 内网渗透必备 敏感文件搜索工具,红队必备
2024-09-08 11:06:27
861
原创 【工具推荐】KillWxapkg v2.4(最新版) - 自动化反编译微信小程序,小程序安全评估工具
【工具推荐】KillWxapkg v2.4(最新版) - 自动化反编译微信小程序,小程序安全评估工具
2024-09-07 20:17:52
474
原创 【工具推荐】0x7eTeamTools v1.2(最新版) -全能的渗透测试工具,一键getshell
【工具推荐】0x7eTeamTools v1.2(最新版) -全能的渗透测试工具,一键getshell
2024-09-07 20:02:38
387
原创 【工具推荐】Jeecg_Tools v1.0(最新版) - jeecg框架一键漏洞利用getshell
Jeecg_Tools v1.0(最新版) - jeecg框架一键漏洞利用getshell
2024-09-06 23:15:24
307
原创 首发 最新AWVS/Acunetix Premium V24.8高级版漏洞扫描器(最新版)Windows/Linux下载
首发 最新AWVS/Acunetix Premium V24.8高级版漏洞扫描器(最新版)Windows/Linux下载
2024-09-06 08:32:56
1380
原创 【工具推荐】PyWxDump v3.1.31(最新版本) - 微信聊天记录解密
PyWxDump v3.1.31(最新版)是一款功能丰富的工具,主要用于获取微信账号信息(如昵称、账号、手机、邮箱和数据库密钥等)、解密微信数据库、查看和备份聊天记录。
2024-09-05 19:08:04
919
原创 【工具推荐】TomcatWeakPassChecker v2.2(最新版本) - Tomcat 漏洞一键漏洞利用getshell
一键tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell地址。
2024-09-05 16:04:40
577
原创 【工具推荐】P1finger v0.02(最新版本) - 红队重要资产指纹识别
P1finger 红队行动下的重点资产指纹识别工具。P1finger 是一个重点资产指纹识别的工具,旨在通过HTTP请求特征来识别目标系统。其主要特点包括:
2024-09-02 19:18:00
358
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人