未分类

使用工具: 前提: Yakit需要配置证书, Yakit的官方文档都有, 这里不多赘述 在没有证书的情况下, 大部分浏览器和应用程 …

检查当前用户shell权限 whoami /user && whoami /priv 查看系统信息 systemi …

反序列化在实战中意义不大,在实战中不会自己独立去审计一条POP链,可以使用自动挖掘反序列化的工具例如tabby等工具去挖掘 序列化 …

任意代码执行 系统命令执行 Magic 函数触发点 文件相关敏感函数 SSRF 相关函数 PS: SSRF不仅仅是能请求HTTP， …

简介 攻击者构造一个真实的邮件服务器，修改发出邮件中的From头，绕过SPF、DKIM的检测，当客户端查看邮件时，该邮件的From …

1. Whois 信息查询 2. 搜索引擎搜索 3. 第三方子域名查询平台 常用的平台包括： 更多工具可参考专门的工具列表章节（如 …

批量搜索引擎利用 除了传统搜索引擎，安全测试中还可以利用Censys、Shodan、ZoomEye等专用引擎进行大规模资产检索。 …