mOon
-
渗透测试技巧|Everything的利用
前言 早在几年前就有很多apt组织利用everything来进行文件查找等,前几年在T00ls上也有人发过相关的文章,事实上在实战中用到的地方还是很多,而且他还是个白进程,支持命令…
-
URI 规范化之访问内部Tomcat服务
描述 URI 规范化问题。由反向代理和应用Servlet Container组成的远程基础设施无法规范一些包含路径参数的URL;当前配置引入了潜在的安全风险,允许绕过 ACL 并访…
-
Python免杀shellcode加载器 — python-shellcode-loader
项目作者:HZzz2 项目地址:https://github.com/HZzz2/python-shellcode-loader 一、工具介绍 免杀方式 msfvenom生成raw…
-
红蓝对抗中经常被利用的漏洞:shiro反序列化你了解吗?
一.shiro反序列化漏洞介绍 1.漏洞简介 Apache Shiro是一款开源企业常见JAVA安全框架,提供身份验证、授权、密码学和会话管理。java中的权限框架有SpringS…
-
日常渗透刷洞的一些小工具
随 项目地址 https://github.com/givemefivw/SecurityServiceBox SecurityServiceBox 一个Windows平台下既可以…
-
对抗 | 利用de4dot解密被混淆的.NET代码
0x01 背景 由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友下午1:06分抛出反编译后还是混淆的代码,那么肯定需要加密后获取正常的.N…
-
.NET WebShell 免杀系列之Unicode编码
0x01 背景 由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友问.NET WebShell 绕过和免杀的方法,而.NET下通常用Proc…
-
ueditor1.4.3-某护中asmx上传绕过waf
前言: 这段时间老是碰到ueditor,前段时间hvv有红队也通过这拿到shell,谈下编辑器的上传。 昨天晚上,群里有个哥们发了个ueditor的编辑器上传,总之他绕过了图片限…
-
总结红队作战工具流程
本列表,收集一些在服务器上运行的一些工具,组建自动化,服务器长期挂跑项目 欢迎提issues,来丰富工作流程,比如自己挖洞时候的一些简易流程,工具+调用命令, 在我的日常渗透中,我…
-
干货|某CMS漏洞总结
文章首发于:先知社区 https://xz.aliyun.com/t/11457 1.漏洞的顺序按版本号排,从低版本到高版本 2.关于迅睿CMS的版本切换,可以通过以下方式,后面每…