腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

洛米唯熊

专栏作者

189

文章

375326

阅读量

192

订阅数

关于外传宝塔面板或Nginx异常简单分析

nginx 网站 tcp/ip 移动应用安全

nginxBak文件是当在面板更新nginx时，面板会自动备份一份nginxBak文件，防止更新出现异常后无法进行恢复如之前的nginx版本为1.22.0，如果在面板点击更新，更新至1.22.1，就会备份一份1.22.0的主程序文件为nginxBak

2023-01-03

7480

VMware vCenter中未经授权的RCE

java php shell 网站 linux

技术大佬在对vSphere Client进行分析的过程中，像往常一样采用了黑盒和白盒两种方法进行测试，重点研究了未经授权即可利用的漏洞。从Web面板，尝试发送尽可能多的不同请求，所有请求都没有Cookie标头。

2022-02-28

1.3K0

宝，别踩我蜜罐了，可好？

tcp/ip 网络安全安全网站

总所周知我是废物我自己搭建了一个洛米唯熊的平台另外在2021年12月22号搭建了一个蜜罐。平时也懒得去看蜜罐，因为如果进行反制的攻击的话也会涉及网络的攻击行为。我是一位大大的良民，从不做未授权的网站攻击。

2022-01-23

6140

Laravel 5 报错信息存在严重漏洞

android laravel 网站

Laravel是一套简洁、优雅的PHPweb开发程序框架，并且具有简洁的表达，是一个比较容易理解且强大的，它提供了强大的工具用以开发大型网站的应用。

2021-08-24

2K0

Zeroshell 3.9.0 RCE复现

Zeroshell 是一个微型的linux发行版本，它功能强大，具有强大的router、radius、web门户、防火墙、virtual**、Qos、 DHCP、dns转发等功能，可以用来安装到服务器上为内网提供网络服务，而且安装和使用都很方便，有U盘，Live CD和Flash imgage文件用于安装，可以使用web界面进行设置和管理。想自己部署软路由，又不想编译，找驱动程序，或者别人编译的固件有后门，可以考虑用Zeroshell替代Openwrt/LEDE。

2021-08-24

7000

关注专栏作者，随时接收最新技术干货

洛米唯熊渗透工程师

使用HTTP 404-File Not Found的C2

http windows 网站 linux html

我们知道hack都会使用C2(命令和控制)控制受感染的主机系统.这些C2中的大多数都由大型僵尸网络控制,Hack只是简单地使用其中一些来访问系统,使他们可以转到另一台设备中去或窃取凭据并获得对系统的“合法”访问.

2020-07-28

9650

2020攻防演练弹药库

安全 https 文件存储 apache 网站

各位小伙伴们, 安全界一年一度的激动人心的攻防演练盛况即将来临:) 这里给大家准备些弹药, 主要是近些年的可以进后台/getshell的漏洞, 漏洞太多难免疏漏. 基本都是常规操作加一点小技巧, 本文涉及所有漏洞均是公开信息, 大部分漏洞均分析过或实践过, 如有错误欢迎【斧】正, 如有补充也欢迎评论留言. 另外, 有些漏洞没有找到外部公开信息, 考虑涉及相关法律法规, 不宜披露, 请见谅. 想深度交流的欢迎沟通. 由于本文长度接近四万字,

2020-05-22

2.3K0

利用Python打造一个自动化信息收集工具

tcp/ip 网站网站渗透测试腾讯云测试服务腾讯云开发者社区

信息收集相对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站足够多的信息之后,才能方便我们更好地对其进行渗透测试.

2020-04-26

1.3K0

扫目录+N多代理IP绕过拦截

tcp/ip 网站 python

在渗透测试的时候,很担心平时在扫WEB目录的时候,频繁的请求会容易被封IP.被封IP以后.要么等上一段时间,要么更换自己的IP.重新启动扫描器.这样的效率很低下,也很浪费自己的工作时间.

2020-04-08

1.7K0

SQL Server Reporting Services(CVE-2020-0618)中的RCE

文件存储 http 网站网络安全安全

SQL Server Reporting Services(SSRS)提供了一组本地工具和服务,用于创建,部署和管理移动报告和分页报告.

2020-02-25

1.5K0

Window权限维持之BITS Jobs利用

powershell 网站

Windows操作系统包含各种实用程序，系统管理员可以使用它们来执行各种任务。这些实用程序之一是后台智能传输服务（BITS），它可以促进文件到Web服务器（HTTP）和共享文件夹（SMB）的传输能力。Microsoft提供了一个名为“ bitsadmin ” 的二进制文件和PowerShell cmdlet，用于创建和管理文件传输。

2019-12-09

1.4K0

渗透测试 APP流量通用抓包方法

费用中心网站虚拟化爬虫 https

Proxifier是一款功能非常强大的代理客户端，支持Windows XP/Vista/Win7/Win10 和 MacOS，支持http/https、socks4/5、TCP、UDP等协议，可以指定端口，指定IP，指定域名、指定程序、指定用户名密码授权等运行模式，兼容性非常好，有点类似SOCKSCAP。

2019-12-03

2.8K0

Burp Suite 2.1.05专业版本的破解与汉化

2019年11月1日，PortSwigger官方发布了Burp Suite Professional 2.1.05最新版本，第一时间给大家分享Burp Suite Professional 2.1.05最新和谐版本。 Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。官方试用最新版新支持windows(.exe)直接安装，下载地址：

2019-11-11

4K0

Microsoft Exchange - 权限提升

网站 access python

在红队操作期间收集域用户的凭据可能导致执行任意代码，持久性和域升级。但是，通过电子邮件存储的信息对组织来说可能是高度敏感的，因此威胁行为者可能会关注电子邮件中的数据。这可以通过向目标用户的邮箱添加规则来实现，该规则将电子邮件转发到攻击者控制的收件箱，或者将邮箱的访问权委托给他们的Exchange帐户。

2019-09-17

2.8K0

利用快捷方式隐藏并执行shellcode

早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听，造成恶意破坏等操作。

2019-09-09

1.4K0

一条命令实现端口复用后门

windows http iis 网站

说到端口复用，大部分人第一反应肯定是想到内核驱动，需要对网络接口进行一些高大上的操作才能实现。但只要合理利用操作系统提供的功能，就能以简单的方式实‍现这一目标，本文将公布一种基于内置系统服务的端口复用后门方法。

2019-09-04

1.9K0

项目渗透实战-一个漏洞毁所有

网络安全安全网站

某天，某人托我帮忙渗透公司网站(授权)并以不破坏网站的前提拿下shell.此时我默默的点了根烟，开始操作。

2019-07-25

8770

CVE-2019-2725/CNVD-C-2019-48814终章——报文回显

xml 编程算法网站 shell javascript

这是一款很神奇的工具。神奇在运行它可以得到回显且能找到正确的webapp发布路径，目前已知的xmldecoder的exp一般都是写webapp默认路径。当用户安装时更改了路径，由于路径问题，那些exp甚至一键化脚本/工具均会失效。而这个工具完美解决了这些痛点。

2019-07-25

1.1K0

稻草人（dcrcms）企业站模板-漏洞审计复现

网络安全安全 php 企业网站

还是使用phpStudy进行一键式搭建。我这里是在虚拟机搭建的，本机做访问使用。

2019-07-25

1.3K0

SiteServer CMS存在严重0day直接影响大量网站

网络安全安全网站

其实也不算0day了。算是Nday 。不知过了几手了。这个0day Nday是以前就有的，也有人出过了详细的教程。我这里也实际操作复现了一下。

2019-07-25

2.7K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态