记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

W13SCAN-漏扫插件分析篇~backup_file

前言:插件位于.W13SCANscannersPerFilebackup_file.py每个插件类的内部最多有两个方法:def _check(self, content):    #对内,可能有def audit(self):     #对外,一定有
发布时间:2021-09-22 17:03 | 阅读:4939 | 评论:0 | 标签:插件 分析

CobaltStrike插件编写之语言陷阱(一)

#工具开发 ,8 #CobaltStrike ,2 0x01前言 众所周知,cs的插件引擎是使用的sleep脚本实现的。在编写cna脚本时,我们需要使用sleep脚本去调用cs实现好的hook来实现很多功能。但是其实sleep脚本本身和cs的hook都有一些语言陷阱,这个系列将会介绍一些我在写cna脚本时遇到的一些问题,以及告诉大家如何避免这些语言陷阱。
发布时间:2021-09-13 11:05 | 阅读:4989 | 评论:0 | 标签:插件

Burpsuite插件改造计划

robots 作者:天启@涂鸦智能安全实验室0x01.前言之前逛GitHub的时候看到一个老同事写的一个插件,于是就多喵了两眼,然后发现其实这个插件还是很实用的!
发布时间:2021-09-10 11:34 | 阅读:6749 | 评论:0 | 标签:插件 burp

Jenkins Nested View插件XXE漏洞(CVE-2021-21680)分析

robots 0x01 前言逆推这个漏洞本身不难,主要记录下思路。先看下漏洞描述:该插件 1.20 及更早版本未配置其 XML 转换器以防止 XML 外部实体 (XXE) 攻击。这使攻击者能够配置视图,让 Jenkins 解析精心设计的视图 XML 定义,该定义使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取秘密。该插件 1.21 禁用了其 XML 转换器的外部实体解析。根据漏洞描述可以提取关键信息:XXE漏洞漏洞出现在配置视图处 0x02 分析Jenkins在github提交了修复代码,修复后的版本和1.19.1对比如下图。
发布时间:2021-09-08 16:56 | 阅读:9009 | 评论:0 | 标签:漏洞 CVE 插件 xxe 分析

【姊妹篇】10款FireFox渗透插件推荐

#原创整理 ,72个 继上次13款Chrome渗透插件推荐后,有网友私信说能否推荐一些FireFox浏览器的渗透插件,那么本文就整理了一下火狐上的渗透插件,推荐给各位有需求的同学:Firefox是Mozilla推出的一款流行的Web浏览器,火狐的流行不仅是因为它是一个很好的浏览器,它同样也支持附加组件来增强自身功能,一些附加组件对渗透人员和安全分析师很有帮助。
发布时间:2021-09-03 11:04 | 阅读:8357 | 评论:0 | 标签:渗透 插件

CobaltStrike 插件编写入门教程

#工具开发 ,6 #CobaltStrike ,1                         点击上方蓝字关注我们&
发布时间:2021-08-30 11:05 | 阅读:10517 | 评论:0 | 标签:插件

13款Chrome渗透插件推荐

#原创整理 68个 谷歌浏览器Google Chrome是世界上最流行的网络浏览器,轻量、界面清爽是它受欢迎的主要原因,与 Firefox一样,Chrome 同样支持附加组件,被称为Chrome 扩展,扩展插件可以帮助我们改进Chrome 的诸多功能。在本篇文章中,推荐给各位一些在渗透测试过程中所使用的扩展插件,这些扩展程序都可以从 Google Chrome 的网上商店免费下载并安装。Web Developer 包含了各种 Web 开发工具,使用这些工具,用户可以执行各种 Web 开发任务,此插件有助于分析 HTML 和 JS 等 Web 应用程序元素。
发布时间:2021-08-24 16:47 | 阅读:13885 | 评论:0 | 标签:渗透 插件

武装你的浏览器-自用火狐插件推荐

Easy XSS直接嵌套在鼠标右键里,然后在盲打XSS的时候直接右键点击,ctrl+v就可以打了,只是payloads较少,不过对于SRC来说够用了EditThisCookie2添加或者删除c
发布时间:2021-08-20 14:17 | 阅读:11771 | 评论:0 | 标签:插件

武装你的浏览器--自用的火狐插件推荐

Easy XSS直接嵌套在鼠标右键里,然后在盲打XSS的时候直接右键点击,ctrl+v就可以打了,只是payloads较少,不过对于SRC来说够用了EditThisCookie2添加或者删除c
发布时间:2021-08-18 17:07 | 阅读:14036 | 评论:0 | 标签:插件

利用字符集编码绕过waf的burpsuite插件

#waf绕过 1 #burpsuite插件 1 通过字符集编码绕过waf的burp插件因为小伙伴在实战中有这么个需求(利用字符集编码绕过waf),所以我借着他的这个需求也学习了下burp插件的编写。使用说明其实这种方法很早就出来了,但并不通用,感觉也有IIS+ASP.NET的时候可以试一试。
发布时间:2021-08-16 11:48 | 阅读:10179 | 评论:0 | 标签:WAF 插件 burp

慢雾 | 钱包安全审计服务全面增加插件钱包安全审计项

近年来,加密钱包安全事件频发。根据慢雾 MistTrack 所接触的受害者信息收集整理,钱包被盗的事件占比高达 60%,显而易见钱包是最有利可图的目标,因此,钱包的安全性至关重要,当然,对钱包进行安全审计更是重中之重。作为在区块链耕耘已久的一员,慢雾科技在区块链世界独特的安全架构方面拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的钱包,如 imToken、Huobi Wallet、RenrenBit 钱包等。为了更好地增强各类加密钱包的安全性,慢雾科技在已有审计项的基础上进行扩展,新增了对扩展/插件钱包的审计。
发布时间:2021-08-05 12:38 | 阅读:15350 | 评论:0 | 标签:审计 安全 插件

某汽车开源插件下的信息泄漏

#车联网安全 1个 0x00:简介    分享一个我自己在某次沙龙分享的议题中的小彩蛋,这个彩蛋主要的内容是一个小插件的信息泄露问题。其中,该信息泄露可以直接看到的你的某汽车轨迹、用电量、经常出没地点等一些信息。
发布时间:2021-08-01 13:29 | 阅读:18380 | 评论:0 | 标签:插件

使用Cobra与Client-go实现Kubernetes自定义插件开发

背景在我们使用kubectl查看Kubernetes资源的时候,想直接查看对应资源的容器名称和镜像名称,目前kubectl还不支持该选型,需要我们describe然后来查看,对于集群自己比较多,不是很方便,因此萌生了自己开发kubectl 插件来实现该功能。相关技术CobraCobra是一个命令行程序库,是一个用来编写命令行的神器,提供了一个脚手架,用于快速生成基于Cobra应用程序框架。我们可以利用Cobra快速的去开发出我们想要的命令行工具,非常的方便快捷。
发布时间:2021-07-20 10:09 | 阅读:15786 | 评论:0 | 标签:插件 Kubernetes

新发现的Bandidos恶意软件变身Chrome插件瞄准南美洲商业网络

ESET的网络安全研究人员昨天披露了一项针对南美商业网络的恶意软件间谍活动,其中大部分行动集中在委内瑞拉。Bandidos是Bandook的改进版,这种恶意软件旨在针对医疗保健、软件服务、零售、制造和建筑等行业的企业。Bandook由Dark Caracal开发,在2015年至2017年间被用来收集情报,该组织声称代表哈萨克斯坦和黎巴嫩政府利益行事。 ESET的网络安全研究人员昨天披露了一项针对南美商业网络的恶意软件间谍活动,其中大部分行动集中在委内瑞拉。Bandidos是Bandook的改进版,这种恶意软件旨在针对医疗保健、软件服务、零售、制造和建筑等行业的企业。
发布时间:2021-07-10 19:39 | 阅读:32147 | 评论:0 | 标签:网络 插件 恶意软件

【技术分享】越权检测系统从零开发之-Chrome插件开发

#渗透测试 3 #自动化 1 #越权 1 作者:天启@涂鸦智能安全实验室前言因为公司业务上越权问题太多了,平时会耗费了我们安全部门大量的人力物力,所以导致平时我们做的大部分工作都是重复的没有意义的。基于以上问题我打算自己开发一个用于越权检测的系统用自动化替代大部分重复的工作。在决定自己开发之前我也尝试过教公司测试的同学使用burpsuite,但是成本太高了,几乎需要手把手一个一个教。
发布时间:2021-07-02 18:11 | 阅读:30970 | 评论:0 | 标签:插件 检测系统

越权检测系统从零开发之-Chrome插件开发

robots 作者:天启@涂鸦智能安全实验室0X01前言因为公司业务上越权问题太多了,平时会耗费了我们安全部门大量的人力物力,所以导致平时我们做的大部分工作都是重复的没有意义的。基于以上问题我打算自己开发一个用于越权检测的系统用自动化替代大部分重复的工作。在决定自己开发之前我也尝试过教公司测试的同学使用burpsuite,但是成本太高了,几乎需要手把手一个一个教。
发布时间:2021-07-02 15:44 | 阅读:39462 | 评论:0 | 标签:插件 检测系统

原创 | MybatisPuls分页插件中的SQL注入

点击上方蓝字 关注我吧实际业务场景中经常需要执行limit分页语句,返回部分数据。物理分页只返回部分数据占用内存小,能够获取数据库最新的状态,实时性比较强,一般适用于数据量比较大,数据更新比较频繁的场景。MybatisPlus插件提供了相应的支持。使用PaginationInnerInterceptor插件可以十分方便的完成相应的功能。关于PaginationInnerInterceptorPaginationInnerInterceptor作为plus的分页插件,提供了通用的参数进行统一配置。可以很方便的完成分页的业务逻辑。
发布时间:2021-06-29 20:39 | 阅读:23081 | 评论:0 | 标签:注入 SQL 插件

组合利用CiviCRM插件中的漏洞实现任意代码执行

点击上方蓝字关注我们概述CiviCRM是一个开源CRM插件,适用于流行的CMS系统,如Wordpress、Joomla、Drupal和Backdrop。CiviCRM专为满足非营利、非政府和倡导团体的需求而设计,具有线上捐款、举办活动、发送电子报和管理会员等功能。CiviCRM的统计数据表明,它已被11000多个组织使用,处理了超过1.16亿笔捐款,并管理了1.89亿个联系人,因此其对网络犯罪分子而言是一个具有吸引力的目标。
发布时间:2021-06-23 19:07 | 阅读:25025 | 评论:0 | 标签:漏洞 执行 插件

源海拾贝 | 浏览器反蜜罐插件实现

robots 蜜罐溯源技术原理蜜罐溯源这部分用到的技术主要是jsonpjsonp全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。如
发布时间:2021-06-23 11:43 | 阅读:29423 | 评论:0 | 标签:蜜罐 插件

自用burp及插件

github存个档https://github.com/safe6Sec/BurpPlugin关于破解关于burp破解可以直接用大佬的注册机,程序直接下官方的原版就行,网上教程多这里不再bb。https://portswigger.net/burp/releaseshttps://github.com/TrojanAZhen/BurpSuitePro-2.1必装插件根据个人需求来装。装了插件,挖洞都要顺畅一点。
发布时间:2021-06-16 22:03 | 阅读:27890 | 评论:0 | 标签:插件

更新 | HaE 2.0 - 信息高亮标记与提取插件

##BurpSuite 1个 HaE - Highlighter and ExtractorHaE相关作者 (来自米斯特安全团队 www.acmesec.cn) :架构作者: @0chencc https://github.com/0Chencc核心功能作者:&a
发布时间:2021-06-11 03:46 | 阅读:48653 | 评论:0 | 标签:插件

〖工具〗Ladon 8.4 & Cobalt Strike插件发布

Ladon简介Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。
发布时间:2021-05-30 16:47 | 阅读:63055 | 评论:0 | 标签:插件

【文末送书】Nessus8.14安装教程,破16个IP限制(送插件)

#安全 4 #Linux 4 #Nessus 2 【后台回复“Nessus”获取插件】1首先进NESSUS官网(https://www.tenable.com/downloads/nessus),下载8.14版本的安装程序,你是WIN系统也好,IOSX系统也好,LINUX系统也好,爱装那个版本装那个版本。2把下载好的安装包及所需插件等上传到要安装的机器上,然后安装,小编是用的Centos7系列安装的。
发布时间:2021-05-26 10:04 | 阅读:52198 | 评论:0 | 标签:插件

插件更新 | 请领取你的 Goby 主题!

#插件 1个 Goby 新增在线调试主题、漏洞实时通知、敏感文件及  Web 目录探测、域名备案信息查询功能等插件。0x001 新增插件1. Custom Theme   在线调试主题,一键生成主题插件。使用在线调试主题教学可翻阅文末视频。配置插件相关信息打开右侧工具栏点击插件入口在打开的插件页面中调试主题,配置相关信息。主题信息配置完毕之后点击Generate按钮生成主题插件登录Goby,点击上传插件,将生成的主题插件包上传等待审核即可。
发布时间:2021-05-19 21:50 | 阅读:28136 | 评论:0 | 标签:插件

插件分享 | 如何快速上手 Zookeeper 未授权漏洞

Goby社区第13 篇插件分享文章全文共:3410 字   预计阅读时间:9 分钟前言:Goby 是一款实时网络空间测绘工具,我尤其喜欢插件市场,它可以集成很多我们平时利用的小工具,不用再去烦恼的打开一个个文件夹。初次编写插件我选择从常见的未授权漏洞里边找,发现 Zookeeper 未授权漏洞的比较简单,利用方法只需要查看泄露的文件信息。
发布时间:2021-04-28 20:37 | 阅读:31117 | 评论:0 | 标签:漏洞 插件

CobaltStrike 上线自动权限维持插件

点击蓝字关注我们声明本文作者:H0e4a0r1t本文字数:900阅读时长:10分钟附件/链接:点击查看原文下载本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
发布时间:2021-04-25 23:52 | 阅读:130427 | 评论:0 | 标签:自动 插件

nessus完整版-免破解,免注册(送插件)

#渗透测试 7 #扫描工具 3 #漏洞挖掘 7 #红队攻防 5 #漏洞扫描 7 0x01 工具准备后台回复:nessus 即可获取安装包与插件包0x02 安装破解先安装nessus,下一步下一步~~~即可安装完成随后在服务中找到Tenable Nessus,并停止服务停止后,再更改本地的host文件(C:WindowsSystem32driversetchost)127.0.0.1 plugins.nessus.org覆盖补丁到对应nessus对应目录,默认在C:ProgramDataTenableNessus限可完成破解。
发布时间:2021-04-18 12:39 | 阅读:68600 | 评论:2 | 标签:破解 插件

哥斯拉插件开发指南——初入茅庐

收录于话题 前言什么是哥斯拉工具?哥斯拉是下一代webshell管理工具。学会编写哥斯拉插件,你不仅可以绕过waf,还可以编写更多的功能,甚至哥斯拉的服务端可以脱离webshell,在数据库中运行,如SqlServer的CLR。首先简单阅读哥斯拉插件Api:https://beichendream.github.io/godzillaApi/接下来我们将简单的学习一下怎么搭建环境,并编写插件。在后续的文章中我们会编写带有实际功能的插件,本文我们只是简单了解一下。
发布时间:2021-04-16 18:42 | 阅读:63930 | 评论:0 | 标签:插件

插件更新 | 一大波插件正在靠近!

本月 Goby 插件又迎来了一大波更新。最近 Goby 发布了红队版本,大家的呼声很高,社区为大家开放了贡献插件获取 License 的渠道,有好多表哥表姐都表
发布时间:2021-04-13 19:37 | 阅读:28334 | 评论:0 | 标签:插件

VSCode 下的 frida 插件

作者:0xcc 原文链接:https://mp.weixin.qq.com/s/1wm4fNHdBNgNdW84YMUNlQ又到工作日了,推送一个作者原创的工具。VSCode 的生态日渐强大,各种插件让编辑器如虎添翼。想必 frida 的大名大家已经耳熟能详,不做赘述。那么把两者做一个有机结合如何?我把一些常用的命令集成到 VSCode 的图形界面里方便日常使用,如动画所示。这个插件在市场里搜索 frida Workbench,安装 codecolorist.vscode-frida 即可。插件依赖 Python3 和 frida-tools。当然,还有 VSCode。
发布时间:2021-04-08 19:19 | 阅读:42859 | 评论:0 | 标签:插件

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云