上次看到某同学在问,很多人都说用fiddler 在drops里面的burp教程也是一笔带过,没有很好的实例。 这里就说一下,很多网站,在做验证的时候,是基于js的验证,判断浏览器返...
神兵利刃
神兵利刃
Metasploit系列教程(第一季)
这次是由T00LS出品的,羽翼来操刀的Metasploit系列课程,上次老夫发布了Sqlmap的系列课程,旨在帮助一些渴望技术的同学,当然,我也得到了很多珍贵的意见或建议,我也希望,在T00LS中大家...
神兵利刃
dedeCMS全版本通杀SQL注入漏洞利用代码
近日,网友在dedecms中发现了全版本通杀的SQL注入漏洞,目前官方最新版已修复该漏洞,相关利用代码如下:EXP:复制代码代码如下:http://*.*.com/plus/recommend.php...
最强免费虚拟机:VirtualBox 4.3.12下载
VirtualBox是一款免费的开源虚拟机软件,简单易用,可在Linux、Mac和Windows主机中运行, 并支持在其中安装Windows (NT 4.0、2000、XP、Server 2003、V...
神兵利刃
Metasploitable2使用指南
Metasploitable 2 Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。版本2已经可以下载,并且...
神兵利刃
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
简介 本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffix and ...
神兵利刃
采集指定域名邮箱用于社工或者fuzz的PHP小脚本
只写了百度的规则,GOOGLE抓取搜索地址后自己写。我的思路是禁止javascript来得到返回的内容。 配合生成弱口令的小脚本进行爆破效果应该不错。 准备学java了,有没有...
神兵利刃
自定义fuzz规则结合收集的敏感信息跟弱口令top100生成burp爆破用的密码的PHP小脚本
user.txt存放收集到的敏感信息 pass.txt为根据$rule生成的密码 很简单可自行修改成自己使用的脚本 <?php&n...
神兵利刃
Android渗透专用测试神器 dSploit v1.0.4b发布
dSploit发布真的是非常快,安云都感慨有点跟不上……今天官方又发布新版v1.0.41b。dSploit是一款Android平台的网络分析和渗透套件,供IT安全研究人员/...
神兵利刃
二级及三级域名收集的方式
1.依靠工具以及搜索引擎: nslookup fierce.pl dnsenum google.com 2.子域名查询工具: 子域名查询3.0.rar
