主要关注网络安全方面的技术、知识和趋势,旨在为网络安全行业的发展做出贡献。
封神台新上线漏洞复现靶场:PigCMS action_flashUpload 任意文件上传漏洞。漏洞详情:PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。PigCms存在一处前台任意文件上传漏洞,攻击者可以通过该漏洞进行任意文件上传,从而获取网站权限。靶场链接:…
Monitor Pro 是一个全面的资源监控工具,旨在帮助你实时跟踪重要的系统指标并提供直观的展现方式。无论你是什么职业,如果你用 VS Code ,请不要错过它。
特色:基于微信测试号,不容易被封,可以邀请 100 人使用,适合小团队使用(当然理论上你也可以用来对接公众号)基于客服消息,不受 5 秒超时限制支持用户通过命令设置 API KEY 、URL支持设置触发词详细说明和代码请移步 GitHub:https://github.com/easychen/botchan…
前言我之前一直在使用 Google Authenticator,后因 Microsoft Authenticator 拥有云备份功能,所以转移到后者。云备份功能可以方便的让我们在更换设备以后无痛进行迁移,但是因为 Microsoft Authenticator 本身没有导出密钥的功能,所以导致我一直无法迁移存量数据到新的其他相关应用。今天找到了破解之道,且没搜索到中文相关内容,简单做下翻译水篇文章,希望能帮到更多屈服于微软淫威之下的人。步骤…
就微信那个充值活动,今年改成老用户95折,新用户9折。但是今年有个新活动,充值任意金额可以获得一张500-25的券。于是有人发现这个活动有点小bug。。 1、充值6元领500-25券 2、自定义金额充值527,可以叠加95折和500-25两个优惠,等于475.65。。大概是9.02折。 3、关键来了,有哥们发现这活动可以套娃,你充完475,还能继续领到500-25,继续充527,还是475。具体能套娃多少次不清楚,至少我充到第四次还是475。
【产品介绍】 易思无人值守智能物流系统是一款集成了人工智能、机器人技术和物联网技术的创新产品。它能够自主完成货物存储、检索、分拣、装载以及配送等物流作业,帮助企业实现无人值守的智能物流运营,提高效率、降低成本,为现代物流行业带来新的发展机遇。 【漏洞描述】 易思无人值守智能物流系统/Sys_ReportFile/ImportReport接口处存在任意文件上传漏洞,未经授权的攻击者可通过此漏洞上传恶意后门文件,从而获取服务器权限。
前言本文将介绍一些奇怪情况下若依系统恰分druid的场景权限校验回显500该回显不是严格意义上服务器回显500,与之前遇到的回显401弱校验类似拼接了/druid/login.html一看图标,尝试若依弱口令 123456 直接进去了进系统捡漏硬恰有时候/druid/login.html界面是无法直接访问到的,进行了权限校验,要登录系…
漏洞成因没进行权限校验。影响范围Ruijie发现方式一、fofa发现title="Ruijie Easy-Smart Switch"利用方式访问之后直接是进入后台的样子~实战修复方式对于鉴权类型的漏洞,主要的修复方式是全局增加鉴权…
众所周知,在学习网络安全的过程中,内网渗透的练习是必不可少滴,那么练习就得要靶场,有的师傅可能就说了,要啥靶场,直接梭哈一个shell出来打真实内网去练习,啊这,也不是不刑,还是很可铐的。 那如果我们就是想在本地搭建一个靶场环境,怎么办呢? 简单,使用一系列虚拟化平台包括但不限于vmware,esxi,甚至超融合等等,相信各位师傅也是这些平台的老熟人咯。 那么有的师傅又问了,我电脑还得跑工具,拿头开啊?不要急,低成本极致性价比捡垃圾做内网靶场的配置单,它来了
使用工具 windows for clash proxifier xshell 打开windows for clash,设置允许局域网连接,查看本机IP ,这里我的代理IP端口是192.168.10.9:13844
之前介绍了若依系统的druid弱口令,接下来介绍若依系统的其他上分攻略 如果单纯的druid弱口令,那么只是低危,配合其他的可以升级危害。 若依系统的信息收集 具体内容,请看前文,这里不做过多介绍
迁移自 deno_python ,主要用于测试和学习 bun 的 FFI 和 plugin 机制的使用 此外发现 bun 的 ffi 性能确实值得一提,思路和 deno ffi 一模一样,api 也大差不差,但性能却能打得过 deno ffi (当然 node napi 肯定也能秒),bun ffi 的这个思路,我在很久之前也在tjs(该项目已废弃)也尝试过,有趣的是,同样用的 zig ,同样用的 tcc 做 native bridge ,只不过我直接把 tcc 的 api 接驳到 js 里使用,而 bun 则是生成一个 c wrapper 代码来做 bridge ,用 tcc 直接 jit 出转换的代码,性能又有进一步提升,加上 JavaScriptCore 引擎自己对 ffi 的优化(特别是相比于 v8 )性能几乎提到了 luajit 的那种水平,deno 虽然 api 看着类似,但实现也完全不同,这大概是性能差距的来源
Druid弱口令上分攻略 信息收集 首先,我们要做的是收集基于若依CMS的系统 图标收集方法 最简单的就是利用图标的方法进行收集(以下只是举例) (icon_hash="-1231872293" || icon_hash="706913071")
新一代开AI换脸神器,生成速度更快,效果更惊艳! 自从上次分享的那个换脸的工具后,发现很多人都很喜欢这个工具,刚好在网上闲逛的时候又发现一款换脸的神器,又经热心网友制作成一键离线包,解压后即可使用。 先看演示吧,为了不侵犯他人的肖像之类的东西,只放了换脸后的视频,各位参考参考吧,下图是AI生成的小姐姐,用来替换视频里面人物的脸。
1、现在的内网渗透总要面对杀软,时时刻刻都要有自己一套绕过杀软或免杀的能力,过不去杀软都是浮云 2、内网主要就是信息收集,需要收集好本地密码、浏览器记录、数据库密码、可达网段、多网卡机器、重点目标、是否有域等等 3、横向移动,本次主要用了密码喷洒,信息收集后发现内网机器并不多,就没再继续横向 4、重点资产要特别关注,像一下堡垒机、天擎、这样的终端控制服务,拿下后直接游戏结束 5、本次测试主要目的在于学习,内网中各种协议应该灵活使用,ICMP探测不到的不一定不存在,换成Netbios协议去探测却能够探测出来,还有一些机器禁ping,都要学会去绕过。 6、自动化进行扫描的话动静还是太大,需要更精简化测试过程,瞄的准打的狠,直线攻击直接拿下内网
首先是 Chrome ,默认不支持 Wayland, 强制使用后发现输入法不能用,搜索后得知需要使用 gtk4 ``` --enable-features=UseOzonePlatform --ozone-platform=wayland --gtk-version=3 ``` 这样 fcitx5 能用了,不过候选词的那个框框位置不对,并且浏览器多了些毛病,不能右键下载图片,上传图片报错等等。Firefox 表现完美,可我的主力是 Chrome 。
全国青少年普法网,每年都有,提供给有需要的人。 全国学生“学宪法 讲宪法”活动自动答题脚本 首先装好油猴,然后将你的账号信息设置如下格式保存:
总结 getwebshell : nikto扫描 → 发现shellshock漏洞 → 漏洞利用 → getwebshell 提 权 思 路 : 内网信息收集 → 内核版本较老 →脏牛提权 准备工作 启动VPN 获取攻击机IP → 192.168.45.194
为什么要存到 NAS 一直不愿意用一些云相册或者网盘之类的服务来备份和保存自己的照片,主要是两个原因: 1. 不想自己的隐私被这些服务方一直视奸,你传上去的照片视频肯定会被这些服务方扫描一遍的,就算没有私密的照片,我也接受不了隐私被这样侵犯 2. 不想自己的数据被绑架,毕竟数据是别人手上,哪天别人要跑路或者涨价,你也没有任何办法
众所周知,目前国内想要看日漫的话,除了B站引进的动漫之外。其他的都是得自己去找途径。而在B站看番还得等过审。相对来说又是一个不足。所以很多人转向了其他网站或者通过磁力链接之类的。而这些没有国内资质的网站很容易倒闭,而且很多时候为了成本考虑他们会尽可能的压缩视频的画质,导致观看体验较差。而BT下载相对来说资源不用愁,但是得自己去下载。对于手机用户或者对BT不熟悉的人可能会有一定的门槛。 目前有一个开源追番系统——[AutoBangumi]
朋友圈访客记录查询教程 如何查看微信朋友圈访客记录的方法?下载悄悄朋友圈APP 1. 下载登录后使用 2. 发布动态 3. 分享到微信朋友圈如果有人看了你的朋友圈,就会在通知你 可以点下首页看看谁看了你的朋友圈哦 原理就是发一个类似笔记一样的动态,不管对方和你是不是好友,只要通过朋友圈点开了,点开的时间点和次数以及停留时间就会被统计。
七夕情侣飞行棋游戏限定解锁版源码,七夕情侣飞行棋限定版本源码已经发布!这是一款专为情侣打造的桌游,让您与您的另一半一起感受浪漫的体验。更为重要的是,这个版本已经移除了路由器限制,解锁了全部功能,而且没有任何加密措施,您只需将源码上传至服务器即可畅玩。密码都是:111111