爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

打靶日记——prime1

# Prime1 靶机渗透测试教学文档 ## 1. 信息收集阶段 ### 1.1 初始扫描 - 使用端口扫描工具（如nmap）发现目标主机开放两个端口： - SSH端口（通常为22） - HTTP端口（80） ### 1.2 Web目录爆破 - 使用目录爆破工具（如dirb、dirbuster或gobuster）扫描80端口 - 发现以下重要目录/文件： - `/dev`目录：包含提示信息，建议继续挖掘网站信息 - WordPress安装痕迹 - 隐藏的文本文件（如lo

2025-08-29 08:19:15

Fenjing 作者的 Jinja SSTI 完全进阶教程

该文档没有简介

2025-08-29 08:18:31

Fenjing 作者的 Jinja SSTI 完全进阶教程

# Jinja SSTI 完全进阶教程 ## 目录 1. 整体 payload 构造思路 2. 常用技巧 - 任意自然数构造 - 字符串处理技巧 - 特殊字符生成 3. 任意字符串构造 - 简单手法 - 复杂手法 4. 属性与字典访问 5. 全局函数利用 6. 最终 payload 构造 ## 1. 整体 payload 构造思路传统 Jinja SSTI 利用方式存在以下问题： - 依赖 `__subclasses__` 方法，需要从长列表中寻找特定类 -

2025-08-29 08:18:31

"剪贴板劫持"攻击：黑客利用虚假验证码通过入侵网站窃取数据

该文档没有简介

2025-08-29 08:17:42

"剪贴板劫持"攻击：黑客利用虚假验证码通过入侵网站窃取数据

# 剪贴板劫持攻击(KongTuke)技术分析与防御指南 ## 一、攻击概述 **KongTuke**是一种新型复杂攻击链，通过入侵合法网站实施"剪贴板劫持"(又称"粘贴劫持")攻击。该攻击利用虚假验证码(CAPTCHA)页面诱骗用户执行恶意脚本，可能安装未知恶意软件。 ## 二、攻击链详细分析 ### 1. 初始感染阶段 - **攻击入口**：被注入恶意脚本的合法但存在漏洞的网站 - **示例脚本**：`hxxps://lancasternh[.]com/6t7y.js` - **重定

2025-08-29 08:17:42

恶意WooCommerce API信用卡验证工具在PyPI平台被下载3.4万次

该文档没有简介

2025-08-29 08:17:04

恶意WooCommerce API信用卡验证工具在PyPI平台被下载3.4万次

# WooCommerce API信用卡验证工具恶意软件分析及防御指南 ## 1. 恶意软件概述 **disgrasya**是一个在PyPI平台上传播的恶意Python包，专门用于自动化验证被盗信用卡的有效性。该工具通过滥用WooCommerce电商平台的API接口实施攻击，主要针对使用CyberSource支付网关的商店。 ### 关键数据 - **下载量**：超过34,000次 - **目标**：使用CyberSource支付网关的WooCommerce商店 - **攻击类型**：信用

2025-08-29 08:17:04

记录一次java项目的审计

该文档没有简介

2025-08-29 08:16:30

记录一次java项目的审计

# Java项目安全审计实战教学文档 ## 1. 漏洞概述本次审计发现了一个Java Web项目中的多个严重安全漏洞，包括： - 远程代码执行(RCE) - 服务器端请求伪造(SSRF) - 跨站脚本攻击(XSS) - 任意文件删除 - 任意文件读取 - SQL注入 ## 2. 远程代码执行(RCE)漏洞分析 ### 2.1 漏洞位置 - 控制器：SEO控制器 - 方法：save方式 ### 2.2 漏洞利用链 1. 通过param方法传参 2. 进入_set方法 3. Filena

2025-08-29 08:16:30

渗透测试基础|信息收集——框架识别&框架漏洞利用

该文档没有简介

2025-08-29 08:15:45

渗透测试基础|信息收集——框架识别&框架漏洞利用

# 渗透测试基础：框架识别与漏洞利用 ## 前言本文基于小迪安全2024年课程内容，系统介绍渗透测试中常见的Web框架识别方法和漏洞利用技术。主要内容包括Python、PHP、Java等主流框架的特征识别，以及如何利用这些框架进行渗透测试。 ## Web开发架构类型 1. **纯手工开发模型**：功能代码全部手写 - 优点：代码原创性高 - 缺点：未经安全检测，漏洞较多 2. **开发框架模型**：以框架为核心实现功能 - 经过第三方机构检测，安全性相对较高 3.

2025-08-29 08:15:45

护网还没开始，电脑先中毒了，那就实战

该文档没有简介

2025-08-29 08:15:06

跳转到页