jadx v1.5.3 Jar/APK 反编译工具|逆向审计与代码分析工具
简介 jadx 是一款由 Java 编写的 开源跨平台反编译工具,也是网络安全逆向、Android 安全审计、Jar 包代码分析领域的主流工具,支持将 Android 平台的 DEX、APK 安装包,以及常规 Jar 包一键转换为可读性极高的 Java 源代码,同时提供图形化界面…
原汁原昧 Claude Code 可运行版源码
(Anthropic) 官方 Claude Code CLI 工具的源码反编译/逆向还原项目。目标是将 Claude Code 大部分功能及工程化能力复现。虽然很难绷, 但是它叫做 CCB(踩踩背)… 文档在这里, 支持投稿 PR 赞助商占位符 - v1 会完成跑通及基本的类型…
科汛新职教网校管理系统
简介 KesionEDU V10新职业教育网校管理系统(简称:科汛网校)是KESION科汛开发的面向个人、学校、培训机构及企业用户的在线教 育建站系统。提供在线教育、企业内训、线上课堂、在线考试等多场景解 决方案。 科汛网校集成强大的在线教育系统功能体系,包括互动直播、录播授课、…
全能逆向 CTF 工具箱支持多平台运行,满足逆向调试与 CTF/AWDP/AWD比赛全场景需
简介 2026 全新全能逆向 CTF 工具箱,整合 13 大类、60 + 子分类逆向工具,覆盖动态调试、静态反编、安卓逆向、Crypto 综合、网络抓包等核心功能,适配 CTF/AWDP/AWD 全比赛场景,支持多平台免配置运行,工具均为 2026 最新版,绿色免安装,逆向分析、…
从JS逆向到账户接管
前言: 本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的; 文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。 正片开始: 摸到一个登录框,发现可以重置密码: ![图片[1]-HackTwoHub社区](/imag…
关于 小程序逆向 的几个疑问,求大佬指点
最近在测试时遇到 小程序逆向 的场景,踩了不少坑。 **环境:** Java + Tomcat **已尝试:** - 常规 payload 被拦 - 改了大小写、加注释 有几个点想请教: 1. 有没有比较新的绕过姿势? 2. 如何判断是否成功触发? 求各位师傅指点方向 🙏
关于 小程序逆向 的几个疑问,求大佬指点
最近在测试时遇到 小程序逆向 的场景,踩了不少坑。 **环境:** Java + Tomcat **已尝试:** - 常规 payload 被拦 - 改了大小写、加注释 有几个点想请教: 1. 有没有比较新的绕过姿势? 2. 如何判断是否成功触发? 求各位师傅指点方向 🙏
关于 小程序逆向 的几个疑问,求大佬指点
最近在测试时遇到 小程序逆向 的场景,踩了不少坑。 **环境:** Java + Tomcat **已尝试:** - 常规 payload 被拦 - 改了大小写、加注释 有几个点想请教: 1. 有没有比较新的绕过姿势? 2. 如何判断是否成功触发? 求各位师傅指点方向 🙏
银狐新变种样本深度分析|逆向 + 沙箱 + 动态运行,拆解 IAT-less 攻击逻辑
前言 近期银狐木马持续迭代变种,以 “税务稽查”“内部违纪名单” 等社会工程学诱饵精准攻击企业办公人员,隐蔽性与危害性显著提升。本文通过 静态逆向、沙箱分析、动态运行 三位一体的方式,深度拆解该样本的环境检测、自定义哈希 API 调用、进程注入与持久化机制,还原完整攻击链路,为应…
微信小程序渗透测试全攻略、抓包解密+源码逆向+漏洞挖掘
本文分为三部分,第一部分涵盖了微信小程序渗透前置知识,第二部分讲述小程序渗透常用方法,第三部分讲述小程序实践挖掘技巧。 0x01 前置知识 为什么要使用小程序? 小程序相较于APP来说: - 对用户具有:无需安装,多终端适配,占用内存小等优点 - 对创作者有:适合初创团队,试错成…
Windows 应急 应急排查 Checklist(附命令)
整理了一份 Windows 应急 的应急排查清单,实战验证过,希望能帮到蓝队的同学: ```bash # 排查异常进程 ps auxf | grep -v '\[' | awk '{print $2,$11,$12}' # 排查定时任务 crontab -l; ls -la /etc/cron.d/ ``` 完整的我会持续更新,有补充的师傅留言。
分享一个 WAF 的实战绕过思路
挖到一个站,WAF 比较严,试了几种方法最后绕过去了,分享一下思路: ```http POST /api HTTP/1.1 Host: target ``` 关键点在于利用了 **分块传输** 配合参数污染。大家有更好的方法欢迎补充 👇
分享一个 CDN 回源 的实战绕过思路
挖到一个站,CDN 回源 比较严,试了几种方法最后绕过去了,分享一下思路: ```http POST /api HTTP/1.1 Host: target ``` 关键点在于利用了 **分块传输** 配合参数污染。大家有更好的方法欢迎补充 👇
分享一个 命令注入过滤 的实战绕过思路
挖到一个站,命令注入过滤 比较严,试了几种方法最后绕过去了,分享一下思路: ```http POST /api HTTP/1.1 Host: target ``` 关键点在于利用了 **分块传输** 配合参数污染。大家有更好的方法欢迎补充 👇
挖矿木马 应急排查 Checklist(附命令)
整理了一份 挖矿木马 的应急排查清单,实战验证过,希望能帮到蓝队的同学: ```bash # 排查异常进程 ps auxf | grep -v '\[' | awk '{print $2,$11,$12}' # 排查定时任务 crontab -l; ls -la /etc/cron.d/ ``` 完整的我会持续更新,有补充的师傅留言。
分享一个 越权 的实战绕过思路
挖到一个站,越权 比较严,试了几种方法最后绕过去了,分享一下思路: ```http POST /api HTTP/1.1 Host: target ``` 关键点在于利用了 **分块传输** 配合参数污染。大家有更好的方法欢迎补充 👇
IDA Pro 9.3 SP2更新下载 – 强大的反汇编程序、反编译器和多功能调试器
简介 IDA Pro 9.3 SP2(macOS, Linux, Windows) – 强大的反汇编程序、反编译器和多功能调试器 A powerful disassembler, decompiler and a versatile debugger. In one tool.…
一篇文章看懂车联网中整车测试所存在的攻击面
IOT 硬件层面的测试,而整车测试涉及的面更广,包括 WEB 测试,Android 测试, CAN 总线测试,近场通信,蓝牙、 GPS 等。因此,本文会先着重讲整车测试中所存在的攻击面。 车载信息娱乐系统 车载信息娱乐( IVI )系统 指的是结合了信息娱乐功能的车载系统。 I…
SRC众测踩坑实录,RCE翻车后靠SQL盲注逆风翻盘
以下用户组可查看 及更高等级认证用户 登录后查看我的权限 登录 注册