jf_hKIAo4na的个人主页_电子工程师 - 电子技术论坛

jf_hKIAo4na

经验：积分：0

查看完整档案 >>

+关注发私信

他的动态

发布了文章 2024-4-8 10:39

实战记录：EDU网站漏洞通杀全过程

浅析：前端：这里的标签都是普通标签，没有像RCDATA元素(RCDATA elements)，有<textarea>和<title>，会做一次HTML编码，所以可以直接插入危险的js代码。后端：没有任何过滤（xs~...

0

807次阅读

0条评论
发布了文章 2024-2-29 12:42

应用与小程序安全测试工具概览：渗透测试的利器与选择

由于如今的应用已经逐渐对安卓应用的版本都在提高，有部分应用已经只兼容来安卓9了，不兼容安卓7，因此刚开始的时候可能会发现模拟器能抓到浏览器的包，但是抓不到App包的情况。...

0

861次阅读

0条评论
发布了文章 2023-2-25 16:55

对常见的系统后门技术及利用方式进行详细说明

在获取到目标机器的权限后，如果想长时间的对目标进行控制，那么绕不开的一个操作就是权限持久化，为了实现这个目的，许许多多的后门技术应运而生。...

0

941次阅读

0条评论
发布了文章 2023-2-21 14:02

burpsutie2023.2安装及破解教程

此版本引入了改进的 Montoya API 对WebSockets的支持，以及一些小的改进和错误修复。改进了 Montoya API 对 WebSockets 的支持。这使你能够创建与 WebSocket 交互更有效的扩展。...

0

5361次阅读

0条评论
发布了文章 2023-2-17 09:32

新型自动化渗透测试工具：AttackSurfaceMapper(ASM)

目标列表完全展开后，本工具即对所列目标执行被动侦察：截屏网站、生成虚拟地图、在公开数据泄露查找登录凭证、用 Shodan 联网设备搜索引擎执行被动端口扫描，以及从 LinkedIn 刮取雇员信息。这意味着你拥有了通过这些过程搜集而来的硬核可...

0

1516次阅读

0条评论
发布了文章 2023-2-15 11:32

渗透工程师常用命令速查手册

iconv -f fromEncoding -t toEncoding inputFile > outputFile creates a new from the given input file by assuming it is ...

0

386次阅读

0条评论
发布了文章 2023-2-10 15:44

kali常用的工具汇总

本文将kali中常用的工具进行了汇总。对每个工具的具体用途做了大概的描述。希望通过本文，能对初学kali的小伙伴有所帮助。当然里面部分工具可能随着系统版本的提高而移除，但我们仍可安装。总结不全之处还望见谅。...

0

1224次阅读

0条评论
发布了文章 2023-2-6 16:06

APP和小程序的安全测试

市面上有很多模拟器，总是有这个app在这个模拟器上打不开，另外一个可以打开的情况。需要下载安装多个模拟器，导致测试时相当繁琐。这里仅使用夜神模拟器，其他的如网易UU、雷神等可自行研究对比。...

0

1401次阅读

0条评论
发布了文章 2023-2-6 15:23

一键抓取360浏览器密码的CobaltStrike脚本以及解密小工具

这是一个一键辅助抓取360安全浏览器密码的CobaltStrike脚本以及解密小工具，用于节省红队工作量，通过下载浏览器数据库、记录密钥来离线解密浏览器密码。...

0

1888次阅读

0条评论
发布了文章 2023-2-3 17:32

SQL语句利用日志写shell及相关绕过

在能够写SQL语句的地方，outfile、dumpfile、drop database等都被禁止，一般进行SQL注入来getshell或删库的方式行不通了。...

0

1739次阅读

0条评论
发布了文章 2023-1-31 16:40

介绍一款渗透自动化工具

py-msf-tool：需在Linux运行此py代码，Linux需要安装nmap和msfconsole不是特殊版本是自带python3,也可在kali直接运行...

0

374次阅读

0条评论
发布了文章 2023-1-31 13:40

文件上传绕过的一次思路总结学习

这里简单列举几个，具体详细的我之前发的文章有，这里补充一个小知识点，假如站点为php的站点，但是只限制了php的后缀格式，我们这里可以利用别的脚本语言都测试一下，因为可能这个服务器可以运行多种语言，虽然概率比较低...

0

836次阅读

0条评论
发布了文章 2023-1-30 16:52

如何搭建DNSLog平台

有时候网上一些常用的DNSLog平台可能会被目标站点黑名单过滤掉，此时就可以自建DNSLog平台来应对这种情况了。...

0

3526次阅读

0条评论
发布了文章 2023-1-30 10:38

Windows Shift后门利用

在Windows系统登录界面状态下，粘滞键仍可以以连续按5下SHIFT键运行，并且此时应用程序会以WINDOWS的最高权限－SYSTEM权限运行，所以计算机一旦被安装该后门，入侵者便可悄无声息地远程操纵计算机。...

0

980次阅读

0条评论
发布了文章 2023-1-29 14:34

利用模拟器抓取微信小程序及APP包

抓取微信小程序数据包的关键点，就是SSL证书绑定的问题。在安卓系统7.0以下的版本，不管微信是什么版本，都会信任系统提供的证书，而现在微信版本已经到了8.0.16 且安装老版本也会强制用户升级，且微信只信任系统及自身内置的证书。...

0

2561次阅读

0条评论