首页
学习
活动
专区
工具
TVP
发布

黑白安全

黑白网成立于2014年,基于丰富的技术和经验,提供各类技术性动态。官网:heibai.org.cn
专栏作者
1299
文章
2118623
阅读量
250
订阅数
蜜罐调研与内网安全
0x00 写在前面蜜罐系统通过在网络中部署感应节点,实时感知周边网络环境,同时将感应节点日志实时存储、可视化分析,来实现对网络环境中的威胁情况感知。网上的开源蜜罐很多,种类不一,不可枚举。有针对单个服务的蜜罐,也有多个服务整合在一起的。Github上有个项目,收集汇总了免费和开源的蜜罐,项目地址:awesome-honeypots: https://git
C4rpeDime
2022-04-26
1.1K0
HackerOne | GitLab中Wiki页面存储型XSS
Ryhmnlfj发现GitLab的Wiki特定的分层链接Markdown存在存储型XSS漏洞。
C4rpeDime
2022-04-26
5870
浅析公共GitHub存储库中的秘密泄露
GitHub和类似平台已使软件的公开协作开发变得司空见惯。然而当此公共代码必须管理身份验证秘密(如API密钥或加密秘密)时会出现问题。这些秘密必须保护为私密,但是诸如将这些秘密添加到代码中的常见开发操作经常使意外泄露频繁发生。本文首次对GitHub上的秘密泄露进行了大规模和纵向的分析。使用两种互补的方法检查收集到的数十亿个文件:近六个月的实时公共GitHub提交的扫描和一个涵盖13%开放源码存储库的公共快照。
C4rpeDime
2022-04-26
5.6K0
CVE-2019-11229 Gitea RCE
首话在四月十三号的时候,gitea推送了v1.7.6版本,更新日志说到修复了一个安全问题。之前都没有关注,直到这几天看到先知作者群的师傅们讨论了一下这个洞的利用手段,比较感兴趣,于是跟了一下。这个洞复现起来稍微有一点麻烦,主要是golang的动态调试我不熟悉,并且gitea貌似加了一点东西,无法直接使用vscode调试,需要编译一个debug.exe出来才能
C4rpeDime
2022-04-26
5310
CVE-2019-13139 - Docker构建代码执行
在今年早些时候,我在2019年的部队进行了一些研究,其中我检查了构建系统以及git如何导致安全问题,我在Docker中发现了一个与git相关的漏洞。此漏洞已被分配为CVE-2019-13139,并在Docker引擎更新18.09.4中进行了修补。问题是相对直接的命令注入,然而,它可能使它更有趣的是它发生在Go代码库中。通常假设Go os/exec包没有遭受命
C4rpeDime
2022-04-26
9550
MalConfScan:从已知的恶意软件家族中提取配置信息
MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。支持的恶意软件家族MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:U
C4rpeDime
2022-04-24
5610
facebookCTF平台(汉化)搭建
从2013年开始,Facebook就在全世界举办CTF竞赛。现在,它将它的CTF平台源码放在Github上开源并向大众开放CTF平台。 Facebook安全部工程师Gulshan Singh说:我们为所有人提供了一个能在后台维护的CTF平台,它有CTF游戏地图,注册团队,还有显示得分榜的功能。 现在平台中的挑战包括逆向工程、取证技术、WEB应用程序安全、密
C4rpeDime
2022-04-24
1.4K0
Windows10 Penetration Suite Toolkit within Kali Linux
`系统简介`     - 基于Win10 Workstation 21H2 x64 MSDN原版镜像制作;     - 完整安装WSL Kali Linux 2022.1,并配置图形化模式;     - 精简系统自带软件,美化字体及部分图标,适度优化;     - 镜像容量74.5G,使用单磁盘文件存储,提升性能;     - 建议运行环境:       * vmware:16.0       * 运行内存:8G       * 固态硬盘:100G `制作声明:`     1. 所有的安装类软件均下载自软件对应的官方网站;     2. 所有的绿色类软件均下载自果核剥壳。(https://www.ghxi.com/);     3. 所有的脚本类工具均下载自github。(https://github.com/);     4. 部分授权类工具(破解版)及优秀的渗透工具来自微信公众号分享;        排名不分先后,同时也推荐大家关注,一起变得更强。        雾晓安全、果核剥壳、归零安全、潇湘信安、学蚁致用、谢公子学安全、利刃藏锋、棉花糖网络安全圈、HACK技术沉淀营、无尾熊安全、T00ls、        渗透攻击红队、洛米唯熊、雷石安全实验室、酒仙桥六号部队、InBug实验室、鸿鹄实验室、黑白之道、HACK之道、GobySec、Gcow安全团队、        Gamma实验室、Cobaltstrike实战、冰河技术、网络安全与黑客技术、QZ的安全悟道、菜鸟学信安、乌雲安全、白帽子飙车路、信安之路、chaosec、        鸟哥谈安全、安全小飞侠、moonsec、系统安全运维、天驿安全、零组攻防实验室、lemonsec、橘猫学安全、Hacking黑白红、渗透xiao白帽、        渗透安全团队、白帽子社区、HACK学习呀、猪猪谈安全、开普勒安全团队、吾爱破解论坛、WhITECat安全团队、寻云安全团队、Khan安全攻防实验室、        Bypass、天億网络安全、关注安全技术、玄魂工作室、边界骇客、零度安全攻防实验室、WgpSec狼组安全团队、黑白天实验室、靶机狂魔、渗透云笔记、        TeamsSix、hijackY、TimeLine Sec、重生信息安全、GobySec、Gcow安全团队、冰蚕实验室。     5. 本项目制作的初衷是帮助渗透新手快速搭建工作环境,工欲善其事,必先利其器;     6. 本项目由于后期调试原因可能会遗留部分本人的信息,请直接忽视;     7. 本项目坚决不接受也从未曾接受任何形式的赞助;     8. 如果您有好的意见或者建议,请联系邮箱burpsuite@qq.com。 `免责声明:`     1. 本镜像仅面向合法授权的企业安全建设行为,如您需要测试本镜像的可用性,请自行搭建靶机环境;     2. 在使用本镜像进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权;     3. 如您在使用本镜像的过程中存在任何非法行为,您需自行承担相应后果,作者将不承担任何法律及连带责任。
C4rpeDime
2022-04-24
2.8K0
EyeJo自动化资产风险评估平台
EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。免责声明本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。功能说明功能说明输入目标支持域名、IP段、IP范围。注
C4rpeDime
2022-04-19
9030
GitHUB安全搬运工之Log4j2集合
NoPacCVE-2021-42287/CVE-2021-42278 Scanner & Exploiter.地址:https://github.com/cube0x0/noPacHackLog4j本项目用来致敬全宇宙最无敌的Java日志库!同时也记录自己在学习Log4j漏洞过程中遇到的一些内容。地址:https://github.com/0e0w/
C4rpeDime
2022-04-19
6080
EyeJo自动化资产风险评估平台
EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。
C4rpeDime
2021-09-07
9860
自用渗透工具资源列表
爆破脚本/工具 名称 简介 Github地址 t14m4t 自动探测开放端口并暴力破解攻击。 https://github.com/MS-WEB-BN/t14m4t 信息搜集 名称 简介 Github地址 AppInfoScanner 对android、ios、web文件/网址进行自动化信息搜集 https://github.com/kelvinBen/AppInfoScanner DBJ-大宝剑 企业组织架构、子域名、Web资产梳理、Web指纹识别、ICON_Hash资产匹配 https://githu
C4rpeDime
2021-09-07
8990
火眼红队工具的非授权访问
A highly sophisticated state-sponsored adversary stole FireEye Red Team tools. Because we believe that an adversary possesses these tools, and we do not know whether the attacker intends to use the stolen tools themselves or publicly disclose them, FireEye is releasing hundreds of countermeasures with this blog post to enable the broader security community to protect themselves against these tools. We have incorporated the countermeasures in our FireEye products—and shared these countermeasures with partners, government agencies—to significantly limit the ability of the bad actor to exploit the Red Team tools.
C4rpeDime
2021-09-07
4010
CS4.0渗透神器源代码下载
最近几天,有人称在GitHub发现了一个名为“Cobalt Strike”的文件夹,据称是渗透测试工具Cobalt Strike 4.0的源代码。
C4rpeDime
2021-09-07
8080
使用Powershell对目标进行屏幕监控
Nishang是基于PowerShell的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编写的,具有实战价值。包括了下载和执行、键盘记录、dns、延时命令等脚本。今天要给大家介绍的是如何通过powershell对目标的屏幕进行实时监控。
C4rpeDime
2020-03-18
1.1K0
CVE-2020-1938:Apache Tomcat文件包含复现
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。
C4rpeDime
2020-03-12
5840
ProcessHider利用分析
ProcessHider能够在任务管理器和Process Explorer之类的监视工具中隐藏指定进程,本文将要介绍实现原理,分析代码细节。
C4rpeDime
2020-03-05
8650
CVE-2020-1938 Tomcat 文件读取/包含漏洞复现
日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 
C4rpeDime
2020-02-25
16.2K0
那些shellcode免杀总结
自己还是想把一些shellcode免杀的技巧通过白话文、傻瓜式的文章把技巧讲清楚。希望更多和我一样web狗也能动手做到免杀的实现。
C4rpeDime
2020-02-17
1.8K0
一款优秀的XSS批量检测工具
NoXss是一个供web安全工程师批量检测xss隐患的脚本工具。其主要用于批量检测,比如甲方内部安全巡检,人工分析千万级的url资产是不现实的,NoXss使用多进程+协程的方式,支持高并发,可以出色的完成这一任务。NoXss从实用主义出发,小巧精致,不如其他扫描器拥有各式各样的高级功能(比如绕过waf、存储型xss等),深入挖掘xss这里首推XSStrike,但在批量检测方面,NoXss是一个不错的选择。
C4rpeDime
2020-02-13
1.3K1
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
【玩转EdgeOne】征文进行中
限时免费体验,发文即有奖~
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档