文章转载自奇安信攻防社区-登录口的对抗 (butian.net)目录扫描扫描工具 dirsearch gobuster wfuzz TidePlues等。针对目录的暴破,有时要尽可能的使用不同目录扫描工具，由于每个扫描工具的算法不...

充电枪勒索攻击Introduction相信大家对勒索攻击并不陌生，勒索这个词语出现在几千年以前，可能从土匪、强盗诞生的那一刻起，便有了勒索的这个词。经过几千年的发展，直到我们进入了21世纪，勒索...

原文首发于奇安信攻防社区：https://forum.butian.net/share/2320 0x00 前言 最近陪别人挖小程序，没有解包操作，就对单纯的数据包进行测试，发现SQL注入还是很多的，小程序开发对接口权限频和S...

一、前言社会工程学简单来说就是攻击者利用人性的弱点，骗取你的信任，从而获取信息的行为。比如众人熟知的杀猪盘，就是通过和你谈恋爱等一系列行为获取你的信任，猪养肥了也就是获取了足够的信...

转发自：奇安信攻防社区-【Web实战】数据泄露漏洞 (butian.net)随着移动互联网的快速发展和物联网设备的普及，API在应用开发中扮演着越来越关键的角色。几乎所有的APP、web网站、小程序、微服务...

原文首发于奇安信攻防社区：https://forum.butian.net/share/18770x00 前言上周参加了某地级市HVV，忙的没时间发文章。本文对HVV过程中出现的未授权或者通过特殊手段绕过的一些未授权案例进行分...

 NucleiTP下载前言Nuclei使用零误报的定制模板向目标发送请求，同时可以对主机进行批量快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描，通过强大且灵活的模板，可以使用Nuclei模拟...

文章转载自奇安信攻防社区-CORS漏洞学习 (butian.net)CORS漏洞CORS（Cross-Origin Resource Sharing）是一种用于Web应用程序的安全机制，用于控制在浏览器中一个网页能够访问来自另一个源（域名...

木马脚本地址 ：http://5.133.65.53/soft/linux/somescript之前hw有过类似案例，建议全面封禁该C段：5.133.65.1/24，并排查对应linux服务器是否有外连，尤其政务外网，各省需要注意。本次排查处...

工具包介绍工具为W啥都学公众号赛赛开发，我觉得很不错，推荐给大家。该工具是一个类似软件商城的工具可以进行工具下载，工具的卸载，工具的更新，工具编写了自动化的安装脚本，不用担心工具跑...

本次参加的地级市HVV是一波三折，防守方还搞起三十六计了，密码提示和真正密码相差甚远，就连Fastadmin都耍起了“七擒孟获”和障眼法两种计谋。 Fastadmin的障眼法 起初信息收集收集到Fastadmin...

勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件，通过加密用户数据、更改配置等方式，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密...

功能介绍 背景：linux中毒如何查杀？如何便捷的在linux服务器上进行webshell查杀，一直困扰着我，那么有没有比较好用的图形化界面的linux杀毒呢，目前鄙人是没有找到一款好用的，那么有没有一种...

前言某次地级市hvv中，在对主资产毫无突破的时候，就考虑从旁站入手了，利用奇安信的鹰图平台，找到两个旁站资产，一个是某新闻素材商场，一个是数据管理的后台。多逻辑漏洞看到商城，当然要先...

本文转载自：奇安信攻防社区-记某系统有趣的文件上传 (butian.net)本次是一次漏洞复现记录，记录了一个有趣的后台文件上传漏洞，以后遇到类似的拦截可以参考这次的过程绕过。站点搭建，根据系统...