流量分析神器|科来 v17.0.0.22 HackTwoHub安全社区免费下载
简介 科来网络分析系统 v17.0.0.22,是一款集数据包采集、协议解码与分析、流量统计、故障诊断与性能管理于一体的专业网络分析产品,能够高精度呈现网络通讯全景,精准解码各类网络协议,快速排查网络异常、定位故障点,同时适配 Windows、Linux 及国产操作系统(银河麒麟、…
BurpBountyPro v2.8:让 Burp Suite 扫描能力翻倍的”漏洞赏金猎人”
一、简介 在日常渗透测试和漏洞挖掘中,Burp Suite Pro 是每一位安全工程师的标配。但面对千变万化的 Web 应用,内置扫描器往往显得”千篇一律”——这时候,你就需要一位懂你的”专属猎人”。 BurpBountyPro 是由西班牙安全研究员 @egarme 开发的一款 …
Proxy 抓包优化:不走代理域名黑名单配置分享
抓包分析过程中,各类统计、广告、云厂商及安全平台域名会产生大量无效流量,严重影响抓包效率与数据分析。为方便大家快速过滤干扰请求,本文整理一份通用的 不走代理域名黑名单,适用于 SwitchyOmega、Yakit 等主流工具配置,直接复制即可使用,有效提升实战抓包体验 设置过滤域…
通过mitmdump实现Burpsuite自动化加解密
最近好几次众测遇到了前端js加密,除了遇到了前端加密算法分析之外,还需要mitmdump配合burp进行自动化解密,因此这里就遇到了mitmdump的使用,这里写一篇文章记录一下学习内容。 上下游代理 在此之前我们先了解一下代理,平时我们正常渗透一般是在浏览器挂代理,将流量转发给…
随波逐流 CTF 编码工具 v7.2,一款搞定所有 CTF 编码 / 隐写难题
简介 CTF 编码工具由随波逐流工作室打造,是一款全能离线编码解码集成工具,专为网络安全、CTF 竞赛与密码学场景设计。工具覆盖 Base、Rot、古典密码、进制转换、对称加密等百余种算法,内置文件隐写、图片分析、哈希计算、文本处理等实用模块,提供一站式加解密与数据处理能力。无需…
全能密码学工具箱,CTF 选手必备的一站式加解密工具
简介 集编解码、哈希摘要、对称/非对称加解密、CTF专属密码、网络工具于一体,无需复杂配置,开箱即用,无论是日常刷题、竞赛冲分还是AWDP加固解题。 编码 - base64 - urlBase64 - 基数16/32/36/45/58/62/85/91/92/100 - base…
微信小程序渗透测试全攻略、抓包解密+源码逆向+漏洞挖掘
本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧。 0x01 前置知识 为什么要使用小程序? 小程序相较于APP来说: - 对用户具有:无需安装,多终端适配,占用内存小等优点 - 对创作者有:适合初创团队,试错成…
内网穿透全解析、隧道技术分类
一、隧道技术分类 1\. 网络层隧道技术 - ICMP隧道:通过ICMP协议封装数据,绕过防火墙限制。例如, icmpsh 和 PingTunnel 工具支持ICMP流量伪装,适用于网络层隐蔽通信。 - IPv6隧道:将IPv6数据包封装在IPv4中传输,用于跨网络环境的数据传输…
静态分析技术Android-APK渗透测试
1.Activity 导出的activity是安卓应用组件在渗透测试中经常遇到的问题之一。导出的activity可以被同一设备上的其他应用调用。 导出属性默认值取决于activity是否包含Intent过滤器,如果不包含过滤器,那么只能通过指定准确的类名才能调用activity。…
从邮件系统打点到全网域控权限获取全流程
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 前言 今天,我要和大家分享一次有趣的省级HVV实战经验–某某航空公司。这次经历是我从打点到成功获取内网机器权限的完整过程,绝对让人耳目一新!如果我们不考虑近源攻击…
– 当大模型遇见静态分析:LLM+SAST的碰撞与思考
前言 又是一年元旦至,一般来说这个时间是该写年终总结了,我朋友圈里很多师傅也纷纷挂出了自己的年终总结。只不过从我往年的年终总结时间可以看出来,我写年终总结的时间是一年比一年晚,23年是一月底写的,24年是二月底写的,25年甚至是四月份写的,所以今年写年终总结的时间连我自己也不知道…
jadx v1.5.3 Jar/APK 反编译工具|逆向审计与代码分析工具
简介 jadx 是一款由 Java 编写的 开源跨平台反编译工具,也是网络安全逆向、Android 安全审计、Jar 包代码分析领域的主流工具,支持将 Android 平台的 DEX、APK 安装包,以及常规 Jar 包一键转换为可读性极高的 Java 源代码,同时提供图形化界面…
青龙面板鉴权绕过从路径大小写到 RCE【漏洞复现】
深度剖析青龙面板最新版鉴权绕过漏洞,利用路径大小写特性绕过 JWT 校验,最终实现未授权远程命令执行。 ![图片[1]-HackTwoHub社区](/images/45f63be9807ca031.png) ? 漏洞摘要 项目详情漏洞名称青龙面板鉴权绕过导致 RCE影响版本Qin…
简单、高效的内网穿透工具frp
一、简介 frp(Fast Reverse Proxy) 是一款开源的高性能反向代理应用,主要用于实现 内网穿透。 它可以帮助用户将位于 NAT 或防火墙后的本地服务安全地暴露到公网,使外部用户能够访问内网中的服务。 frp 采用 C/S(客户端 / 服务端)架构: - frps…
最新 Nessus 2026.6.8 版本|Windows/Linux 双系统下载,插件库更新
前言 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。对应渗透测试人员来说,Nessu…
Linux 应急响应【挖矿病毒】
0x00 整体流程 0x01 梳理现场情况 0x02 获取异常进程pid - CPU占用 - top -c -o %CPU - -c 参数显示进程的命令行参数 - -p 参数指定进程的pid - ps -w -eo pid,ppid,%mem,%cpu,cmd –sort=-%c…
Linux 应急响应【暴力破解】
0x00 整体流程 0x01 梳理现场情况 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的,做二次研判是必要的,能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况、历史通报、历史误报 历史攻击可能会留下攻击遗产,成为未来新一轮攻击事件的发起点,…
从代码仓库到邮件平台:JS 包中 42000 个暴露凭证的高危案例拆解
API密钥泄露事件已屡见不鲜,随之而来的数据泄露也司空见惯。但为何敏感凭证仍如此轻易地暴露在外?为探究根源,Intruder研究团队分析了传统漏洞扫描工具的覆盖范围,并开发了新的凭证检测方法以弥补现有方案的不足。 通过对500万款应用的大规模扫描,研究人员发现了334类共计42,…
BurpSuite2026.1专业(稳定版)下载 支持Windows/Linux/Mac系统
工具简介 BurpSuite 是一款功能强大的Web应用安全测试工具,被广泛应用于网络安全从业人员进行渗透测试、漏洞挖掘等工作。它不仅支持HTTP和HTTPS协议的请求拦截与修改,还提供了大量插件支持,使得测试流程更加灵活和高效。无论是初学者还是资深安全专家,BurpSuite都…
BurpSuite2026.6专业(稳定版)下载 支持Windows/Linux/Mac系统
工具简介 BurpSuite 是一款功能强大的Web应用安全测试工具,被广泛应用于网络安全从业人员进行渗透测试、漏洞挖掘等工作。它不仅支持HTTP和HTTPS协议的请求拦截与修改,还提供了大量插件支持,使得测试流程更加灵活和高效。无论是初学者还是资深安全专家,BurpSuite都…