又叒一个代理扫描平台

关于项目 项目是一个代理扫描器,现有的代理扫描平台有xray,w13scan等,只是我希望关于SQL注入的使用sqlmap来检测执行,所以就有了这个平台,本质上和GroudScan是差不多的,只是把w13scan也加入到其中来检测别的漏洞。 同时也期望这个东西能做到代理扫描上的统一化,在实际工作中,开发测试对于新功能并不会实时进行安全申报,所以...

date_range2021-01-13 bookmark_border web安全   python  

代码审计--osroom

osroom这个cms很有意思,从漏洞和程序的写法上,很适合用来入门学习,漏洞的一些形式相比来说,也比较多一点。 RCEapps\utils\format\obj_format.py 如下,文件中采用了eval来转换字符串对象,当json.loads转换失败的时候,则直接使用eval来转换。 def json_to_pyseq(tjson): ...

date_range2020-11-20 bookmark_border web安全   python  

代码审计--Plone

PlonePlone是使用Python开发的一个开源的内容管理系统,安装的时候以第三方包的形式安装使用,三百个包左右的程序,这个查看起来查找对应功能实在是费劲。 SSRFplone.app.event-3.2.7-py3.6.egg\plone\app\event\ical\importer.py @button.buttonAndHandler(...

date_range2020-11-18 bookmark_border web安全   python  

开源WAF搭建

ModSecurity在Ubuntu和Nginx上安装,nginx版本为1.14.0。 安装需要包apt-get install -y apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev...

date_range2020-09-17 bookmark_border Open Source Security  

基于inotify的Linux文件实时监控扫描

watchfile项目地址:https://github.com/MisakiKata/watchfile 安装#第三方库 pip install pyinotify #使用supervisor来守护进程 apt-get install supervisor yum install supervisor 使用#安装完成后需要启动,按需要修改配置...

date_range2020-09-04 bookmark_border shell  

内网渗透横行移动

在进行这些东西之前,至少需要一个可完整交互的shell,默认就已经获得了shell,并且提权到nt authority\system AS-REP Roasting这是一种针对kerberos协议的攻击技术,不需要认证就可以获取到用户的密码hash值。如果用户开启了“不使用Kerberos预认证”,攻击者就可以获取到Kerberos AS-REP...

date_range2020-08-12 bookmark_border web安全