我的burpsuite插件
我的burpsuite插件 urpsuite是一个非常强大的web应用程序安全测试软件,它可以拦截、修改、重放、扫描、爬行等各种操作,帮助渗透测试人员发现和利用漏洞。但是,burpsuite本身并不是万能的,有时候我们需要借助一些插件来增强它的功能和效率。在这篇博客中,我将介绍我使用的一些burps
svg头像造成xxe
图片svg头像造成xxe 读取etc/passwd <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE svg [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<svg xmlns="http://www.w3.
微信小程序解包
微信小程序解包 想要对微信小程序进行解包操作,首先是要获取目标小程序的wxapkg文件。wxapkg文件是微信小程序的安装包文件格式,用于将小程序的代码、资源以及其他必要的文件打包成一个单独的文件。但是Windows环境下的wxapkg文件中的js代码和资源文件一般是被加密的,需要使用专门设计的解密
深信服NGAF任意文件读取漏洞(附 poc)
深信服NGAF任意文件读取漏洞(附 poc) 0x00 前言 深信服 NGAF 是一款集成了下一代防火墙、Web 应用防火墙、入侵防御系统等多种安全功能的网络设备1。近日,发现了一个任意文件读取漏洞,可以通过该漏洞获取服务器上的敏感文件,如配置文件、密码文件、日志文件等。本文将介绍该漏洞的复现过程和
CZ对减半的看法
CZ谈btc减半经验
一手工具来源分享
推荐一个TG频道,让你轻松获取各种网络安全工具的破解版 这个频道是由Pwn3创建的,主要分享网络安全相关的资讯、教程、工具等。你可以在这里找到各种渗透测试、逆向工程、漏洞挖掘等方面的破解版工具,比如Burp Suite Pro、IDA Pro、Nessus,awvs,Cobalt Strike等。这
JumpServer未授权访问漏洞(CVE-2023-42442)漏洞复现
JumpServer未授权访问漏洞(CVE-2023-42442)漏洞复现 一、漏洞简介 JumpServer是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和访问控制。JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志,
cat /etc/passwd 变种可绕waf
一个命令执行变种 t\a\c$@</*?c/*?*?*w\d
burp微信抓取小程序流量
微信小程序是一种基于微信平台的轻量级应用,可以在微信内部运行,无需下载安装。微信小程序的通信协议是基于HTTPS的,因此,如果想要抓取微信小程序的网络请求和响应,就需要使用一些工具来进行中间人攻击(Man-in-the-Middle Attack,简称MITM)。本文将介绍如何使用Proxifier