26 天前 / Elina3000
Web 安全冰蝎 3.0 流量特征分析(附特征)2020-08-17 23:55:50 简介本文原载于公众号:宽字节安全 作者:potatso **即将开始,冰蝎发布 3.0 版本,主要做了以下改动: 取消动态密钥获取,目前很多 waf 等设备都做了冰蝎 2.0 的流量特征分析。所以 3.0 取消了动态密钥获取; 界面由 swt 改为 javafx,这个没啥说,界面美观大方。 下面主要分析一下冰蝎 3.0 变化。 密钥生成根据 readme,aes 密钥变为 md5("pass")[0:16],全程不再交互密钥生成。
26 天前 / alexo0
Web 安全攻防礼盒:哥斯拉 Godzilla Shell 管理工具 2020-08-18 15:17:07 本文原载于公众号:ChaBug 作者:BeichenDream **期间,各大厂商的 waf 不断,在静态查杀、流量通信等方面对 webshell 进行拦截,众红队急需一款优秀的权限管理工具,冰蝎 3.0 的发布可能缓解了流量加密的困境,但是冰蝎 3.0 的 bug 众多,很多朋友甚至连不上冰蝎的 shell,于是 @BeichenDream 决定公开他所开发的一款 shell 权限管理工具,名为“哥斯拉”。 简单使用方法在哥斯拉安装之前,你需要安装 jdk1.8 的环境。
26 天前 / alexo0
Web 安全 2020 攻防演练值守部分关注点 2020-08-21 19:38:25 本文原载于公众号:雷神众测 作者:分子实验室 漏洞类组件 01 Web 服务组件 Tomcat 漏洞说明 1 CVE-2020-1938(需要公网开放 AJP端口,且上传点在 Webapps目录下 ) 特征:关注文件上传 漏洞说明 2 Tomcat Console 弱口令 特征:关注账号登录 组件 Weblogic 漏洞说明 1 Xmldecoder 反序列化(通过 HTTP 方式触发) 特征:关注反序列化 Gadgets 漏洞说明 2 T3 反序列化(一般在内网比较好用,主要几个要点: 1、若打过一次 weblogic 补丁之后 CommonsCollections Gadget 无法使用...
31 天前 / alexo0
Web 安全 2020 攻防演练值守部分关注点 2020-08-21 19:38:25 本文原载于公众号:雷神众测 作者:分子实验室 漏洞类组件 01 Web 服务组件 Tomcat 漏洞说明 1 CVE-2020-1938(需要公网开放 AJP端口,且上传点在 Webapps目录下 ) 特征:关注文件上传 漏洞说明 2 Tomcat Console 弱口令 特征:关注账号登录 组件 Weblogic 漏洞说明 1 Xmldecoder 反序列化(通过 HTTP 方式触发) 特征:关注反序列化 Gadgets 漏洞说明 2 T3 反序列化(一般在内网比较好用,主要几个要点: 1、若打过一次 weblogic 补丁之后 CommonsCollections Gadget 无法使用...
33 天前 / 杨琼璞
自 2017 年开始,就有想塑造些优质个人产品;目前仍继续在维护的倾城之链,就是对这一夙愿的实践和坚持;在「倾城」的设计和运营中,接触了蛮多工具型产品,颇受启发的同时,也起到了很大帮助;此篇文章,旨在跟朋友们分享下那些神器、以及对工具 vs 产品、知识 vs 思维相关思考。 超棒的样机生成器 Choose from ready-made templates to generate mockups, screenshots and video previews and for your app. All screenshots are ready for App Store and Google Play 推荐语:Previewed.app:一个非常漂亮的样机生成器网站;它上不仅能够快速生成 App S...
34 天前 / alexo0
Web 安全攻防礼盒:哥斯拉 Godzilla Shell 管理工具 2020-08-18 15:17:07 本文原载于公众号:ChaBug 作者:BeichenDream **期间,各大厂商的 waf 不断,在静态查杀、流量通信等方面对 webshell 进行拦截,众红队急需一款优秀的权限管理工具,冰蝎 3.0 的发布可能缓解了流量加密的困境,但是冰蝎 3.0 的 bug 众多,很多朋友甚至连不上冰蝎的 shell,于是 @BeichenDream 决定公开他所开发的一款 shell 权限管理工具,名为“哥斯拉”。 简单使用方法在哥斯拉安装之前,你需要安装 jdk1.8 的环境。
34 天前 / Elina3000
Web 安全冰蝎 3.0 流量特征分析(附特征)2020-08-17 23:55:50 简介本文原载于公众号:宽字节安全 作者:potatso **即将开始,冰蝎发布 3.0 版本,主要做了以下改动: 取消动态密钥获取,目前很多 waf 等设备都做了冰蝎 2.0 的流量特征分析。所以 3.0 取消了动态密钥获取; 界面由 swt 改为 javafx,这个没啥说,界面美观大方。 下面主要分析一下冰蝎 3.0 变化。 密钥生成根据 readme,aes 密钥变为 md5("pass")[0:16],全程不再交互密钥生成。
34 天前 / alexo0
Web 安全演练礼盒:哥斯拉 Godzilla shell 管理工具 2020-08-18 15:17:07 本文原载于公众号:ChaBug 作者:BeichenDream **期间,各大厂商的 waf 不断,在静态查杀、流量通信等方面对 webshell 进行拦截,众红队急需一款优秀的权限管理工具,冰蝎 3.0 的发布可能缓解了流量加密的困境,但是冰蝎 3.0 的 bug 众多,很多朋友甚至连不上冰蝎的 shell,于是 @BeichenDream 决定公开他所开发的一款 shell 权限管理工具,名为“哥斯拉”。 简单使用方法在哥斯拉安装之前,你需要安装 jdk1.8 的环境。
79 天前 / 开发者头条
大家好,我是周刊菌。 以下内容选自第 012 期「码农周刊 VIP 会员专属邮件周报」,每周五发送(节假日顺延),自订购之日算起,全年 52 期。 「码农周刊 VIP 会员」是什么?简介版码农周刊 VIP 会员 = 全年 52 期「VIP 会员专属邮件周报」 + 只限 VIP 会员加入的交流圈子 + 大厂「内推机会」 + N 多福利 详细版 点击「阅读原文」即可查看详细介绍 「码农周刊 VIP 会员专属邮件周报」每周五发送(节假日顺延),自订购之日算起,全年 52 期。
95 天前 / 实时音视频A桑
在 RTC 2020 编程挑战赛春季赛中,像素级、低流量的屏幕共享工具「Syncit」获得了第二赛道的第一名。项目作者余彦臻同时还是拥有 6500+Star 的开源项目 rrweb 的作者。 在此前 CSDN 对获奖者的采访中我们了解到,从事前端开发的余彦臻,在平时工作中会用到 Teamviewer 等远程桌面工具。但是,大部分只需远程控制对方的浏览器,不需要操作系统级别的控制。于是他从浏览器入手,开发出了这款既关注隐私保护和易用性,又能不占用过多网络带宽的屏幕共享与远程控制工具「Syncit」。Syncit 传递的数据是文本格式的快照和 op-log。
124 天前 / 开发者头条
大家好,我是头条菌。 我爱程序员!我的微信号:toutiaoio007,欢迎加我好友,拉你入群~ 用户无需掌握复杂的编程技术,通过简单拖拽、少量配置即可制作精美的页面?这,可能吗? 头条菌要推荐的这款工具,完全可以! 看介绍! 码良是一个在线生成 H5 页面并提供页面管理和页面编辑的平台,用于快速制作 H5 页面。 码良不仅可服务于运营人员用来制作轻业务的营销页面,基于完备的编程接入能力,甚至可以作为开发者进行快速业务迭代的工具。 项目地址:https://github.com/ymm-tech/gods-pen 以下内容选自「码农周刊 VIP 会员」圈子,每日更新,精彩不断。
132 天前 / 开发者头条
大家好,我是头条菌。 我爱程序员!我的微信号:toutiaoio007,欢迎加我好友,拉你入群~ IT 运维工程师一直是个 “苦逼” 的职业,“锄禾日当午,不如运维苦,对着破电脑,一调一下午” 是对运维工作的一个形象描述。 头条菌要推荐的这个工具,让运维不再苦逼! 看介绍! 灵活、强大、功能全面的开源运维平台,麻雀虽小,五脏俱全。 面向中小型企业设计的无 Agent 的自动化运维平台,整合了主机管理、主机批量执行、主机在线终端、应用发布、任务计划、配置中心、监控、报警等一系列功能。
140 天前 / ruki
luject是一个静态注入动态库的工具,它可以实现对mac, ios, linux, windows, android的可执行程序,动态库程序进行修改,来插入指定动态库实现注入和加载。 另外luject也实现了对ios的ipa包,android的apk包自己macOS的.app包的动态库注入,重打包和重签名支持。 注入技术简介我们可以通过ptrace附加或启动一个程序,然后将指定的动态库注入进去,但很多情况下需要root权限才行。 除了通过动态注入,我们也可以通过设置DYLD_INSERT_LIBRARIES等环境变量的方式,来注入指定的动态库,mac/ios程序就可以使用这种方式来简单快速地实现注入...
148 天前 / 开发者头条
大家好,我是头条菌。我爱程序员!我的微信号:toutiaoio007,欢迎加我好友,拉你入群~ 不少 Linux 初学者,常会问一个问题:那么多 Linux 命令,我记不住咋办?头条菌推荐一款 Linux 命令大全搜索工具。这款工具涵盖 550 多个 Linux 命令,内容包含 Linux 命令手册、详解、学习资源等。 这款工具有多个版本:Chrome 插件、Web、Alfred、Dash、命令行工具等,使用方便。 数据基于 linuxde.net,是值得收藏的 Linux 命令速查手册。
155 天前 / 开发者头条
这些神奇的词汇你看懂吗?nsszqsgrsxswlnbcskydbqssfd 没事,「能不能好好说话?」 拼音首字母缩写翻译工具来啦! 项目介绍 社交平台上通过拼音首字母缩写指代特定词句的情况越来越多,为了让常人勉强能理解这一门另类沟通方式、做了这一个划词翻译油猴脚本。 独立网页版本:https://lab.magiconch.com/nbnhhsh/ 项目地址 https://github.com/itorr/nbnhhsh