杂术馆

欢迎光临
我们一直在努力

最新发布 第4页

web攻防

XPath注入详细分析

ange阅读(60)

XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来构造请求以获取XML数据。...

web攻防

使用SetToolkit捕获远程PC的VNC会话

secange阅读(52)

今天在这篇文章中,我们将尝试通过使用非常简单的方法帮助初学者通过VNCpayload来进行对目标主机的测试。在本教程中,他们将学习如何使用set工具包创建VNCpayload,并尝试访问受害者PC的VNC shell。 [Read More...

web攻防

打造免杀JScript

secange阅读(73)

我们密切关注的恶意软件的特征之一是其使用的免杀技术,即恶意软件用于传统沙盒中隐藏其真正恶意性质的技术,直到它到达特定目标机器。在其他帖子中,我们讨论了在二进制程序中采用不同的免杀技术。最近,我们已经看到通过VBA宏在恶意Office文档的免...

web攻防

SaiProbe V1.0 内网渗透辅助脚本

ange阅读(57)

我们在渗透内网的时候经常会遇到一个问题,就是一旦进入内网,就需要做各种代理才能搞到其它的机器,很麻烦。于是,我尝试通过脚本的手段来解决一些可能遇到的麻烦,尽量减小我们对目标机器本身所做的操作,于是便有了这个脚本。目前脚本还很简单,只实现一些...

web攻防

利用ssrf漏洞获取google内部的dns信息

secange阅读(70)

在一月下旬,我发现并报告了toolbox.googleapps.com上GoogleVRP的SSRF漏洞,利用这个漏洞可以发现谷歌内部DNS服务器,提取到各种企业信息,同时也暴露了许多公司内部IP地址以及A记录和NS记录,如谷歌的目录结构和...

web攻防

使用Msfvenom捕获远程PC的VNC会话

secange阅读(49)

在这篇文章中,我们将尝试使用VNC payload来完成,在本教程中, 您将学习如何使用msfcenom创建VNC payload,并尝试链接受害者PC的VNC Shell [Read More…] ...

web攻防

sshLooter – SSH 密码记录工具

secange阅读(69)

其通过修改/etc/pam.d/sshd,达到记录ssh密码,由于他会把记录到的密码发送到telegram,针对某些目标不是很方便,可以修改sendMessage函数达到发送到微信或者记录到文件。 [Read More…] ...