TyrantTyrant 是一款用于渗透测试和远程控制持久化的恶意工具,具备以下功能:反向Shell:允许攻击者通过指定用户UID进行反弹对应权限的Shell会话。后门注入与持久化…
黑客们最近利用开源的Pyramid渗透测试工具,建立隐蔽的命令与控制(C2)通信。Pyramid于2023年首次在GitHub上发布,是一个基于Python的后渗透框架,旨在绕过终…
靶场名称:encrypt-labs地址:https://github.com/SwagXz/encrypt-labs使用工具:Google浏览器,Yakit、Js-Forword拿…
背景2022年6月23日,Exodus Intelligence公开了一个影响TP-Link制造的WR940N V5和WR941ND V6路由器的漏洞。这个漏洞被标记为“未初始化指…
Fastjson是阿里巴巴开源的高性能JSON处理库,在Java生态中被广泛使用。其多次曝出的反序列化漏洞(尤其是AutoType特性相关漏洞)曾引发重大安全风险,以下是一些简单介…
一、cms简介:新蜂是一套电商系统,包括基础版本(Spring Boot+Thymeleaf)、前后端分离版本(Spring Boot+Vue 3+Element-Plus+Vue…
1. 漏洞定义XXE(XML外部实体注入) 是一种利用XML解析器处理外部实体时的安全缺陷,攻击者通过注入恶意外部实体,实现敏感数据读取、服务器端请求伪造(SSRF)或远程代码执行…
1. 敏感文件泄露攻击原理通过XML外部实体引用本地文件系统路径,利用未正确配置的XML解析器读取服务器敏感文件具体Payload示例读取Linux系统文件:<?xml ve…
地址:https://github.com/MartinxMax/KTOR简介KTOR 是一款专为 Linux 横向渗透设计的工具。通过该工具,您可以快速扫描内部 HTTP 服务,…
漏洞描述Apache Shiro before 1.13.0 or 2.0.0-alpha-4, maybe susceptible to a path traversal att…