News:禁止使用本博客的技术文章、源码、工具等用于非法用途,否则后果自负。

The Lastest

渗透测试,攻防软件

TeamViewer账号密码读取工具

jasonx 73 0

简介本工具可以读取tv12/13/14版本的账号和密码。目前免杀国内大多数杀软,体积超小(9kb)软件截图下载地址文件大小: 9.00 KB (9,216 字节)文件版本: 1.0.0.0修改时间: 2019年11月08日,09:39:57MD5: 295A04F5F339545BB795B6278C5CCA62SHA1: 8E2FDAB0E1E8F60F4F708E2E2EE8C0209F416465蓝奏云:https://ww...

渗透测试,漏洞研究,攻防软件

DEDECMS批量爆破管理员账号密码工具

jasonx 395 0

前言其实不止dedecms可以用这种方法爆出敏感信息,只要对方是windows服务器,并且存在短文件名漏洞,就可以通过这种方法爆破出敏感信息。原理DEDECMS 默认备份数据库的文件夹是;/data/backupdata/管理员数据表的文件名称是;dede_admin_0_e9e8e2bf84ff3901.txt 文件名的前面字符串固定,后面的字符串是随机产生的。那么利用短文件名漏洞特性,已知文件名前6位,直接输入dede_a~1...

安全动态,渗透测试,漏洞研究

CVE-2019-0708远程桌面代码执行漏洞EXP被公开

jasonx 397 0

前言Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp、win7等系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口RDP协议进行攻击。9月7日 号称比肩MS17-010漏洞(CVE-2019-0708)的利用EXP被公开。Metasploit在推特上发布了漏洞利用视频和exp。目前各位大佬和安...

渗透测试,内网渗透

内网渗透中PSTools套件的使用

jasonx 404 1

前言我本人在内网渗透中,经常会用到PSTools。在内网中很多win7电脑,知道对方密码但无法直接远程登录的情况下,psexec的优势就体现出来了。psexec.exepsexec.exe是一个远程执行工具,知道对方账号密码即可远程执行命令,运行程序等等。常用参数说明-u 输入对方用户名-p 输入对方密码-d 无需等待程序执行完,直接返回。-s 以system权限运行-i 让对方看到你运行的程序窗口-c 运行对方电脑里...

漏洞研究

Discuz!ml3.3前台命令执行漏洞 可getshell

jasonx 528 1

代码执行访问127.0.0.1/home.php,访问其他文件也可以。cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE抓包找到cookie的language的值修改为xxxx_xxxx_language=sc'.phpinfo().' getshell%27.%2Bfile_put_contents%28%27shell.php%27%2Curldecode%28%27%...