【后渗透】入侵痕迹清理windows篇 前言  痕迹清理,是“肾透”测试后期最重要的环节。”肾透“的最后一定会触发一场追踪与反追踪的游戏，为避免入侵行为被发现，攻击者总是会通过各种方式来隐藏自己，比如：隐藏自己的真实IP、清除系统日志、删除... 2023-3-14 10:2:57 | 阅读: 24 | 收藏 | 藏剑安全 windows powershell 安全 security 攻击

实战之低版本tomcat-getshell 前言某次红蓝对抗中,发现目标低版本的tomcat弱口令，但是常规的war包无法上传。环境介绍linuxtomcat6.0过程-上传war包直接修改后缀,尝试war包上传。发现未成功部署，显示fals... 2023-3-14 10:2:54 | 阅读: 27 | 收藏 | 藏剑安全 低版本 aar axis2 马子 502

【Burp系列】超全XXE注入漏洞实验总结（建议收藏） 现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！导读：面向读者：对于网络安全方面的学者。 本文知识点（读者自测）： （1）利用XXE检索文件（√）... 2023-3-13 11:44:23 | 阅读: 41 | 收藏 | 藏剑安全 攻击 数据 漏洞 passwd 攻击者

渗透实战|记一次RCE-内网之旅 起因：Nuclei爆红，Atlassian Confluence的命令执行漏洞，编号：CVE-2022-261341.思路命令执行-反弹shell失败-反弹shell成功-代理nps落地-内网之旅2.... 2023-3-13 11:44:20 | 阅读: 79 | 收藏 | 藏剑安全 代理 攻击 载荷 webwork

攻防演练实战之梅开二度-致远OA-rce 前言好久没有写文章了。1.最近入了很多众测。安心挖洞。2.没有比赛就没有什么好文章输出。这不刚结束就写文章给表哥们了。环境介绍其中目标是一个学校,不止一次的被打过了。这次肯定是修复了。上次手法对学校进... 2023-3-9 15:33:44 | 阅读: 34 | 收藏 | 藏剑安全 u0061 5cu0061 u0065 5cu0065 u002e

【Burp系列】超全文件上传漏洞实验总结（建议收藏） 现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！有粉丝问在线实验靶场地址在哪？↓方自取靶场地址：https://portswigger.net/w... 2023-3-6 17:6:21 | 阅读: 16 | 收藏 | 藏剑安全 php 上载 攻击 脚本 carlos

NGCBot v1.4发布 2023-3-6 17:5:46 | 阅读: 14 | 收藏 | 藏剑安全 小弟 信息 群主 群友 美女

域渗透实战-红日靶场一 1、环境测试以及搭建实验环境拓扑图如下：这里是搭建一个最简单的域环境，域控+dmz服务器。kali(MSF+CS) ：192.168.61.128Windows 2007：192.168.61.20... 2023-3-3 09:55:37 | 阅读: 26 | 收藏 | 藏剑安全 windows 端口 信息 ms17 auxiliary

实战过印度阿三垃圾服务器 免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即... 2023-3-3 09:54:59 | 阅读: 25 | 收藏 | 藏剑安全 安全 machine portnumber 信息

Tomcat任意文件写入(CVE-2017-12615) 里面一些重要的文件，需要了解其作用：1.server.xml：配置tomcat启动的端口号，host主机，Context等。2.web.xml文件：部署描述文件，这个web.xml描述了一些默认的se... 2023-2-28 09:43:34 | 阅读: 17 | 收藏 | 藏剑安全 漏洞 readonly disr windows dis

【Burp系列】身份认证漏洞靶场实验整合（建议收藏） 目录一、身份验证定义1、三个身份验证因素2、身份验证和授权3、身份验证漏洞的产生4、实验的字典二、基于密码的登录中的漏洞1、强制策略2、用户枚举3、有缺陷的强力保护        实验1：通过不同响应... 2023-2-28 09:43:27 | 阅读: 12 | 收藏 | 藏剑安全 攻击 账号 攻击者 爆破

edusrc--某985任意文件下载 免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，WK安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢... 2023-2-27 19:11:3 | 阅读: 35 | 收藏 | 藏剑安全 shiro 漏洞 payload webapps 爆破

0day|织梦RCE 现在只对常读和星标的公众号才展示大图推送，建议大家能把“藏剑安全“设为星标”，否则可能就看不到了！织梦官网：https://www.dedecms.com/download受影响的版本 <=dedec... 2023-2-26 17:13:9 | 阅读: 29 | 收藏 | 藏剑安全 php 安全 漏洞 dedecms dopost

【干货】漏扫工具整合使用教程 目录一、awvs1.1、下载： 1.2、安装：1.3、替换11.4、替换21.5、运行二、appscan2.1、下载：2.2、安装：2.3、替换：2.4、导入许可证三、xray3.1、简介：3.2、下... 2023-2-25 15:0:12 | 阅读: 69 | 收藏 | 藏剑安全 xray 漏洞 注入 证书 webscan

Tomcat AJP文件包含漏洞(CVE-2020-1938) 现在只对常读和星标的公众号才展示大图推送，建议大家能把“藏剑安全“设为星标”，否则可能就看不到了！由于Tomcat在处理AJP请求时，未对请求做任何验证，通过设置APJ连接器封装的request对象的... 2023-2-24 09:58:12 | 阅读: 15 | 收藏 | 藏剑安全 ajp 漏洞 connector 8009 脚本

【干货】敏感信息泄露漏洞整理 现在只对常读和星标的公众号才展示大图推送，建议大家能把渗透安全团队“设为星标”，否则可能就看不到了啦！导读：面向读者：对于网络安全方面的学者。 本文知识点（学者自查）： （1）信息泄露示例（√）（2）... 2023-2-23 09:47:1 | 阅读: 41 | 收藏 | 藏剑安全 信息 数据 账号 安全 攻击

4位数CVE编号申请 前言发现有小伙伴对cve这种证书念念不忘想起来自己刚入行的时候也在满世界的寻找如何获取cve证书的途径。现在发现申请cve证书非常简单。1想要申请当然需要一个漏洞了。这里比较简单的就是一些大的cms的... 2023-2-22 10:8:5 | 阅读: 35 | 收藏 | 藏剑安全 漏洞 github 证书 注入

记一次Shiro命令执行到写入SSH公钥登陆 1.思路Shiro命令执行(root)-内存马注入-getshell-sockes5代理-Xshell生成密钥-远程修改密钥失败-本地添加密钥-SSH公钥登陆2.Shiro命令执行某国外站点，外围打点... 2023-2-21 11:1:31 | 阅读: 70 | 收藏 | 藏剑安全 xshell 代理 远程 ssh shiro

《2023年网络与信息安全行业全景图》正式发布 (附下载） 前言点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。后台回复【2023全景图】，下载高清全景图。深圳市网络与信息安全行业协会基于《深圳市网络安全行业企业及产品推荐名录2023》和《深... 2023-2-1 10:59:42 | 阅读: 24 | 收藏 | 藏剑安全 安全 网络 信息 全景图

星轨职业版V1.0注册流程 用户服务协议星轨武器漏洞库职业版平台（含星霾混淆平台、星阁学习平台、星轨漏洞库、星棱全球漏洞监控系统、星盘全球IP定位系统、星绘全球资产探测系统、星谍全球情报大数据系统、星典文库、星儡靶场平台、引力波... 2023-1-17 21:5:50 | 阅读: 48 | 收藏 | 藏剑安全 网络 安全 信息 漏洞