PHP白盒审计工具RIPS源码简析

PHP白盒审计工具RIPS源码简析

2个月前 (06-09) 浏览: 47 评论: 0

RIPS是一款对PHP源码进行风险扫描的工具,其对代码扫描的方式是常规的正则匹配,确定sink点;还是如flowdroid构建全局数据流图,并分析存储全局数据可达路径;下面就从其源码上略探一二。 1、扫描流程 分析其源码前,我们需要缕清其扫描的流程,方便后面的分析,下图展示其进行扫描的主界面: 先简单介绍下每个标签的基本功能: path/file:待扫描代码的文件地址; subdirs:是否对代码

Shodan新工具发布:木马恶意软件C&C服务器搜索引擎

Shodan新工具发布:木马恶意软件C&C服务器搜索引擎

4个月前 (05-07) 浏览: 184 评论: 0

  5月2日,Shodan和Recorded Future联合推出在线恶意软件C&C(命令和控制)服务器搜索引擎-Malware Hunter,该工具被集成在Shodan基础搜索引擎之上,可以极大方便广大安全研究人员进行相关恶意软件感染设备的探测发现。 Malware Hunter技术支持 Malware Hunter通过大量的搜索节点(bot)发现互联网上的僵尸主机。为了准确跟

一款高度可定制的WiFi钓鱼工具 – WiFiPhisher

一款高度可定制的WiFi钓鱼工具 – WiFiPhisher

4个月前 (05-04) 浏览: 166 评论: 0

工具简介 WiFiPhisher是一款高度可定制的WiFi钓鱼攻击工具,它可以对具体的WiFI客户端进行攻击,例如获取用户凭证或感染恶意软件。与其他攻击不同的是,WiFiPhisher并不会进行爆破攻击,因为它主要使用的是社会工程学技术,而社工技术也是攻击者窃取用户凭证的一种简单且有效的方法。【官网链接】【工具下载】 注:WiFiPhisher需要在KaliLinux系统上运行,使用开源GPL许可

一款Windows系统下不错的提权工具 – BeRoot

一款Windows系统下不错的提权工具 – BeRoot

4个月前 (04-27) 浏览: 128 评论: 0

工具简介 BeRoot是一款Post-Exploitation工具,也就是在黑客拿到目标主机的Shell之后所要用到的一种东西。BeRoot可以帮助我们检查目标Windows系统中存在的错误配置,并找出提权的方法。【GitHub传送门】 BeRoot项目将会作为一个Post-Exploitation模块被添加进Pupy项目(一个开源的、跨平台Post-Exploitation工具,采用Python

这个工具能帮你识别藏在CloudFlare后的真实IP – HatCloud

这个工具能帮你识别藏在CloudFlare后的真实IP – HatCloud

4个月前 (04-23) 浏览: 136 评论: 0

1. 概述 360互联网安全中心近期监测到“我爱卡”网站(51credit.com)出现挂马情况,进一步分析发现,访问该网站会加载跳转到漏洞攻击包(Exploit Kit)页面的恶意Flash广告,没有专业安全防护的访问者电脑会感染号称勒索软件“集大成者”的Sage2.0,造成文件被加密勒索的惨重损失。相比以往的漏洞攻击包,此次整个攻击链完全使用Flash文件实现,不再需要HTML与Javascr

Metasploit官方攻防模拟实训工具:Metasploit Vulnerable Services Emulator发布

Metasploit官方攻防模拟实训工具:Metasploit Vulnerable Services Emulator发布

6个月前 (03-08) 浏览: 163 评论: 0

如何用最好地保护一个系统免受黑客攻击?当然是站在黑客的视角来看待系统的安全问题。昨日Metasploit就以此为出发点,发布了一个漏洞模拟工具——Metasploit Vulnerable Services Emulator。作为一款开源工具,安全人员可以通过它提供的漏洞操作平台来测试渗透测试目标。 想到之前的Metasploitable2和Metasploitable3也有同样的功能,为什么还要

市面上大部分渗透工具下载

市面上大部分渗透工具下载

6个月前 (02-24) 浏览: 872 评论: 0

ARP欺骗 ARP EMP v1.0 http://www.xdowns.com/soft/1/44/2014/Soft_133963.html Cain_v4.9汉化版 http://www.orsoon.com/Soft/105715.html MAC地址扫描器 http://www.pc6.com/softview/SoftView_61658.html NetFuck http://www

Cobalt Strike之DNS Beacon使用记录

Cobalt Strike之DNS Beacon使用记录

6个月前 (02-23) 浏览: 141 评论: 0

前言: 渗透测试软件Cobalt Strike Windows版破解 笔者使用环境 本机 Debian Linux 服务器 VPS(Debian Linux) 目标 Windows 2003(虚拟机) Cobalt Strike  v3.6(开心版) Cobalt Strike开启团队服务器模式需要Java环境,本机使用也需要,推荐安装Oracle java8 先上传Cobalt Strike压缩

巡风源码初探

巡风源码初探

6个月前 (02-22) 浏览: 661 评论: 0

0x01 前言 巡风是同程安全应急响应中心(YSRC)在GitHub上开源的安全工具,采用Python编写,“是一款适用于企业内网的漏洞快速应急、巡航扫描系统,通过搜索功能可清晰地了解内部网络资产分布情况,并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。”对于这款工具,总体感觉小巧、高效,一定程度上关注到了安全运维中的部分痛点。笔者作为公司的安全运维负责人,在工作中有幸使用巡风来寻找内

巡风:企业内网的漏洞快速应急巡航扫描系统

巡风:企业内网的漏洞快速应急巡航扫描系统

6个月前 (02-22) 浏览: 434 评论: 0

项目主页 https://github.com/Blacksmith-shop/xunfeng 简介 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统,通过搜索功能可清晰的了解内部网络资产分布情况,并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。 其主体分为两部分:网络资产识别引擎,漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测(支持调用MASSCA

Snuck:一款自动化XSS漏洞扫描工具(含下载)

Snuck:一款自动化XSS漏洞扫描工具(含下载)

7个月前 (01-13) 浏览: 462 评论: 0

工具简介【下载地址】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会尝试利用特殊的注入向量来破坏网站的XSS过滤器,并通过这种方法提高漏洞的检出成功率。基本上说,snuck所采用的检测方法与iSTAR漏洞扫描工具的检测方

3xp10it自动化渗透测试框架1.0

3xp10it自动化渗透测试框架1.0

7个月前 (01-10) 浏览: 82 评论: 0

About 3xp10it 3xp10it是一个自动化渗透测试框架,目前没有做到完全自动化[自动上传漏洞利用框架和自动fuzz框架暂时没有加入。 b)支持功能列表 高危漏洞扫描模块 爬虫模块 目标网站脚本类型检测 目录扫描模块 sqli扫描模块 robots/sitemap自动收集 cms识别与cms漏洞扫描模块 自动识别管理员页面并爆破[支持自动识别简单验证码] webshell自动查找与爆破,

使用轻量级工具Sysmon监视你的系统

使用轻量级工具Sysmon监视你的系统

8个月前 (12-16) 浏览: 284 评论: 0

0×01 sysmon介绍 sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。 通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,您可

深入探究文件Fuzz工具之Peach实战

深入探究文件Fuzz工具之Peach实战

9个月前 (11-28) 浏览: 105 评论: 0

0×0 前言 本文旨在详细介绍文件Fuzz工具Peach的使用,涵盖了基于Python的2.3旧版本和基于C#的3.1新版本,讲求实践与语法并重,适合零基础和有一定其他Fuzz工具使用经验的人z作为学习参考。文中若有不当之处,还望不吝指正。 说明:本文中穿插对比了3版本较于2版本有较大改动的地方,并以“V3:”特意标注。 0×1 Peach介绍与安装 Peach是用python/C#写的开源Sma

Geoip可视化攻击图谱:打造专属的炫酷风

Geoip可视化攻击图谱:打造专属的炫酷风

9个月前 (11-28) 浏览: 268 评论: 0

Geoip可视化攻击图谱可以用于实时显示您正在遭受的网络攻击,它会跟踪系统日志文件,解析出日志里的源IP、目的IP、源端口和目的端口。 介绍 该工具的可视化机制会根据常见端口进行细分,通过不同的协议类型进行颜色区别。Geoip可视化攻击图谱项目的诞生,需要特别感谢Sam Cappella。这位大牛在2015的Palmetto网络防御比赛中制作了一个可视化流量工具。笔者参考了他一部分代码,在构建展示

Ruler:一款利用Exchange服务渗透的安全工具

Ruler:一款利用Exchange服务渗透的安全工具

10个月前 (10-26) 浏览: 129 评论: 0

Ruler是一款能够通过MAPI/HTTP协议与Exchange服务器交互的工具。其目的在于测试outlook客户端的邮件规则,规则详情请见:Silentbreakblog。 Silentbreak对该攻击行为的研究非常到位,给我们带来了极大的便利。唯一的缺点是它的安装时间过长。复制邮箱到一个新的Outlook实例比较耗时。创建邮件规则也相对麻烦。那么有人可能会问,难道就没有更好的payload生

北极熊扫描器4.0发布,无需过多介绍的国产安全工具

北极熊扫描器4.0发布,无需过多介绍的国产安全工具

11个月前 (10-09) 浏览: 264 评论: 0

前言 相隔好几个月,“北极熊”再次更新,像我那么勤快的人好像已经不多见了。。。。安全工具,更新频率都不是很高,说实在的一句话,好用就行,本次可以说是大改,以及大量调整,曾经有人反馈,速度不快,容易崩溃的问题等等,当初软件官方发布的时候,默认线程,程序延迟,都不是最佳的,这次呢,干脆放开软件,让他“疯起来”。 更新亮点 一:网址爬虫 开放了 一句话木马扫描 XSS检测 资源探测 自定关键字扫描 二:

VaultPasswordView:可用于查看windows Vault密码的工具

VaultPasswordView:可用于查看windows Vault密码的工具

11个月前 (10-09) 浏览: 164 评论: 0

VaultPasswordView是Windows 10/8/7系统的密码破解工具,你可以用它来解密当前正在运行的系统的Windows Vault数据,以及存储在外部硬盘驱动器上的Windows Vault数据。 系统要求 该应用程序适用于任何版本的Windows,从Windows 7到Windows10的Windows 32位和64位系统。你也可以在Windows XP sp3使用该工具。 Wi

神器Nmap的web版:Rainmap Lite

神器Nmap的web版:Rainmap Lite

11个月前 (10-09) 浏览: 172 评论: 0

0×00 前言 Rainmap Lite 是一款Nmap对应Web应用程序,它允许用户从他们的手机/平板电脑/网络浏览器启动Nmap扫描!不像它的前身[1] ,Rainmap Lite 并不依赖特殊服务(RabbitMQ,PostgreSQL,Celery, supervisor等),它可以很容易地安装在任何服务器上。你只需要安装Django应用程序,并添加cron的轮询任务,便可以建立一个新的扫

tunna工具使用实例

tunna工具使用实例

11个月前 (09-29) 浏览: 127 评论: 0

原理:就是个HTTP tunneling工具 #!php +-------------------------------------------+ +-------------------------------------------+ | Local Host | | Remote Host | |-------------------------------------------| |-

Apache日志实时分析工具:ARTLAS

Apache日志实时分析工具:ARTLAS

11个月前 (09-22) 浏览: 181 评论: 0

ARTLAS(Apache Real Time Logs Analyzer System)是一个Apache日志实时分析器。它基于OWASP排名前10的漏洞,可识别对web应用程序发动的攻击,并能够通过Telegram, Zabbix和Syslog/SIEM通知你的事件响应小组。 ARTLAS使用PHP-IDS工程中的正则表达式来识别攻击,在这里可以下载到最新的版本。 支持的输出方式 Zabbix

SQLiScanner:又一款基于SQLMAP和Charles的被动SQL 注入漏洞扫描工具

SQLiScanner:又一款基于SQLMAP和Charles的被动SQL 注入漏洞扫描工具

11个月前 (09-19) 浏览: 283 评论: 0

项目地址:SQLiScanner 简介 叕一款基于SQLMAP和Charles的被动SQL 注入漏洞扫描工具 从内部安全平台 分离出来的一个模块, 支持 Har 文件的扫描(搭配 Charles 使用: Tools=>Auto Save) 特性 邮箱通知 任务统计 sqlmap 复现命令生成 依赖 Python 3.x Django 1.9 PostgreSQL Celery sqlmap

Foxscan:一款基于SQLMAP的主动和被动资源发现扫描工具

Foxscan:一款基于SQLMAP的主动和被动资源发现扫描工具

11个月前 (09-16) 浏览: 156 评论: 0

Fox-scan Fox-scan is a initiative and passive SQL Injection vulnerable Test tools. use for penetration testing! Foxscan 是一个款基于SQLMAP的主动和被动资源发现的漏洞扫描工具,在设置浏览器代理后访问目标网站即可获取浏览器访问的链接,并且进行简单的爬虫获取链接,去除一些静态文件

Linux系统安装Vmware图文教程

Linux系统安装Vmware图文教程

12个月前 (09-02) 浏览: 147 评论: 0

Linux系统下安装Vmware教程 由于项目需要,要在Linux下虚拟一个Windows,经过查找些资料,发现可一用VMware来实现,当然还有其他一些虚拟机可以使用如Win4lin,bochs等,但经过试用,只有VMware还好用。以下就是安装的步骤: 首先打开vmware官网的下载链接:https://my.vmware.com/web/vmware/info/slug/desktop_en

安装VMware Workstation虚拟机中文版

安装VMware Workstation虚拟机中文版

12个月前 (09-02) 浏览: 137 评论: 0

一.虚拟机获取 360云盘下载:https://yunpan.cn/cMXm6CaIWKihA    访问密码 8085 官网下载:http://www.vmware.com/ 二.安装(VMware Workstation 10.1版本) 1.双击“安装包”开始安装 2.点击“下一步” 3.选择"接受" 4.选择"自定义" 5.选择"功能"修改安装目录 6.修改虚拟机系统存放位置 7.取消"检查

微软良心之作——Visual Studio Code 开源免费跨平台代码编辑器

微软良心之作——Visual Studio Code 开源免费跨平台代码编辑器

1年前 (2016-08-05) 浏览: 181 评论: 0

在 Build 2015 大会上,微软除了发布了 Microsoft Edge 浏览器和新的 Windows 10 预览版外,最大的惊喜莫过于宣布推出免费跨平台的 Visual Studio Code 编辑器了! Visual Studio Code (简称 VS Code / VSC) 是一款免费开源的现代化轻量级代码编辑器,支持语法高亮、智能代码补全、自定义热键、括号匹配、代码片段、代码对比

VS2015企业版安装详细教程,图文并茂,含下载地址&密钥

VS2015企业版安装详细教程,图文并茂,含下载地址&密钥

1年前 (2016-07-02) 浏览: 1766 评论: 2

铁匠第一次体验安装VS2015企业版,感觉此工具功能比2013、2010完善了很多,反正呢,铁匠是一个喜欢折腾新鲜事物的人,就干脆把安装步骤一步一步的截图发到博客里面了! 纽约时间7月20日,微软发布了vs 2015 正式版,今天晚上回到家里,就下了企业版安装体验,感觉还不错,下面是安装图解步骤。(在这里要非常感谢自洋大哥的,详细指导与建议。) 安装:我们从安装的一步步来,图如下: 一:功能勾选:

破解UltraEdit、破解UE编辑器

破解UltraEdit、破解UE编辑器

1年前 (2016-05-22) 浏览: 893 评论: 0

UltraEdit是一款优秀的文字编辑软件,本篇经验将为大家介绍怎么正确注册UltraEdit。 1、关闭网络连接(或者直接拔掉网线)。 打开UltraEdit软件,稍等片刻会出现提示你你使用的是试用版本的窗口。如下图,点击“注册”。 填写许可证id和密码。许可证id可任意填写,不过根据经验,建议大家不要输入字母,全打上数字,密码也是。如图所示,填写完毕点击“激活”。 稍等一会儿(在此期间,软件会

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享