Mrxn's Blog

前言：         在我们使用 burpsuite 进行渗透测试或其他抓包APP测试的时候，经常会在 burpsuite 里面出现大量的无用报文数据，比如使用 Firefox 配合 burpsuite 抓包时经常出现： http://detectportal.firef...

6亿密码md5 Hash 这是国外一位叫ndronicus的安全研究者分享出来的，从2018年夏天到大约十年中从100个最大的密码泄露数据库存储中收集的6亿个唯一的纯文本密码的列表。 ndronicus从这些密码生成了NTLM，sha1，sha256，MySQL和MD5 hashes，它们包含在下载文件中。...

背景： 我那台服役了六年的手动换过农企CPU+固态+内存条的破车在前不久退役了，更换琐事详情见早些时候的文章——瞎折腾,给笔记本换个CPU,加个SSD固态...果然爽YY 。更换原因总结一下就是三个字：慢、热、卡！造个句就是：它（慢/热/卡）得你怀疑人生。所以年初的时候海淘入手了ROG Zephyrus S (GX531GS)美版(国内当时没有...

主人公吴邪（侯明昊 饰）身为老九门吴家后人，从机关重重的战国墓“七星鲁王宫”九死一生逃出生天后，回到家中发现三叔吴三省（姚橹 饰）失踪，还牵扯出十几年前的一桩考古队谜案。吴邪接到神秘的阿宁来信，为找到三叔，他前去西沙明代沉船葬海底墓寻找线索，遇到自七星鲁王宫分别的王胖子（张博宇 饰），还发现神秘古物蛇眉铜鱼，以及失忆的张起灵（成毅 饰），而小哥来到西沙...

这篇文章主要是从博客留言求解压密码，动动手得到了古今秘籍网的解压密码，不过我不觉得这些所谓的秘籍就一定适合你，感兴趣的自己下载阅读，其实f这些电子书资源，每本书知道名字都可以去网上各大网盘搜索到下载没有加密的版本，学会搜索很重要！废话不多说，书的注意目录大致包括这些： (7)家传秘本藏书古中医、针灸、正骨、艾炙、秘方等中医资料272本 (23)[秘籍网]...

本文主要是对于昨日大概晚间八点左右在网上出现的关于致远 OA A8 协同管理软件被曝存在远程代码执行漏洞0day，且目前已有漏洞被在野利用，在中、大型政府企业中都广泛使用。文末给出致远getshell 0day poc批量检测脚本（python版本） 已验证影响版本： A8 V7.0 SP3 A8 V6.1 SP2 (V6.1 SP1 验证尚...

本文章向大家介绍CobaltStrike3.14破解，主要包括CobaltStrike3.14破解使用实例、应用技巧、基本知识点总结和需要注意事项，具有一定的参考价值，需要的朋友可以参考一下。 简单的介绍(copy): Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为...

ThinkPHP 的站，且存在 ThinkPHP 5.0.x 远程命令执行漏洞，并且开了 debug 模式，但是⽬标用的是ThinkPHP5.0.20，⼀开始⽤网络上的 poc 打怎么都不成功。 第一个问题是，目标 PHP 禁⽤了命令执行的函数，比如执行 system 提示 disabled: 不过看起来文件函数没有禁用，⽐如 file_g...

Hackbar作为网络安全学习者常备的工具，也是渗透测试 中搭配Firefox必不可少的黑客工具，但是最新版也开始收费了，一个月3刀，6个月5刀，1年9刀，虽然费用不贵，还是动动手。 But, Firefox 和 Chrome 的插件有点不一样，firefox 的插件必须是经过签名过的，才能加载到浏览器。修改插件里的任何一个字符都会导致...

注：以下文章为译文，也是我最近遇到的MySQL问题，故摘抄在此做备用，如有侵权，请联系我，我会立即处理。 最近我遇到了一个 bug，我试着通过 Rails 在以“utf8”编码的 MariaDB 中保存一个 UTF-8 字符串，然后出现了一个离奇的错误： Incorrect string value: ‘\xF0\x 9F \x 98 \x 83 ...

前言： 在Web渗透测试当中的信息收集环节，对于目标站的指纹收集是很重要的一个环节，同时收集的指纹准确与否在很大程度上对我们渗透测试的快慢和结果有着莫大的关系，今天我就我日常使用的cms识别方法、国内外的常见的公开的在线cms指纹识别网站、和开源/闭源工具以及一些扫描器等方面来说一下如何在web渗透测试实战中快速的判断出目标站所使用的程序类型。 注：...

我之前写过一篇文章是关于freebuf文章图片去除!small得，地址在这里:https://mrxn.net/jswz/modify_freebuf_pic.html，但是后来我发现有一个BUG，很严重得那种：因为我当时在写插件的时候是在文章全部浏览完后直接写得，这也就导致了我当时忽略了 freebuf 的图片是懒加载的，这样的话如果还是像我之前那样直接去...

在pastebin上看到的，想要买卖0day的可以进去看看，不想做买卖的也可以进去瞧瞧，原文如下： be careful: if http://0day.today redirecting to pastebin page - your ip block. Download TOR Browser and use TOR mirror http://mv...

继上一篇博文-B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息 ，这篇B站源码泄露后续-GO代码行数、网警锁定、关键词过滤、人气倍率、真假播放量、作弊粉丝数是后续的补充，吃瓜看看就好！你懂的，不能多说自己心里明白就好。阅读全文>>

B站源码泄露背景： 晚间逛V2社区的时候刷到了这么一条帖子：Openbilibili？ B 站在 Github 上公开了自己的后端源代码。  下面各位V友吃瓜群众或喜闻乐见，或惊奇不已，我是个凡人我也不例外！作为一名合格的吃瓜群众，当然要立马去GitHub fork了一份，但是gayhub:https://github.com/openbili...

近期，有匿名黑客开始泄露伊朗间谍组织APT 34（OilRig 或者 HelixKitten） 所使用的黑客工具，甚至还包括团队成员及受害者数据信息等等。虽然目前来看所泄露的工具并没有永恒之蓝如此复杂，但依然引发了大量安全研究者的持续关注。 从3月份开始，有人开始以“Lab Dookhtegan”这个名字在Telegram频道 https://t.me/la...

首先声明：文章来源于国外的 codeproject 我这里只是由于复习SQL的时候需要就Google搜索[可以用我个人搭建的Google搜索供大家搜索文章学习使用]了一下，找到这篇文章,再次做个简单的记录同时也方便以后的有缘人，如有侵权的地方还请来信注明，感谢原文的作者的勤劳付出，留下如此详细全面的关于SQL的join的用法。codeproject是国外一个...

MySQL 不允许 SELECT FROM 后面指向用作 UPDATE 的表，有时候让人纠结。当然，有比创建无休止的临时表更好的办法。本文解释如何 UPDATE 一张表，同时在查询子句中使用 SELECT. 问题描述 假设我要 UPDATE 的表跟查询子句是同一张表，这样做有许多种原因，例如用统计数据更新表的字段（此时需要用 group 子句返...

如何查找重复行         第一步是定义什么样的行才是重复行。多数情况下很简单：它们某一列具有相同的值。本文采用这一定义，或许你对“重复”的定义比这复杂，你需要对sql做些修改。 本文要用到的数据样本 create table test(id ...

写这个脚本的原因就是我发现freebuf的文章里的图片后缀都会跟一个 !small 后缀，我想网站初心可能是为了对付爬虫吧，恶意爬虫爬去文章文字和图片，但是对于我这种懒虫，不喜欢点击一下放大去看图，而是比较喜欢文章的图片就是页面最佳尺寸，简单的研究了一下，发现去掉文章里的图片的 !small 后缀后，文章图片默认就会显示最佳尺寸了！简直Nice啊！但是每次这...

这里荒芜寸草不生， 后来你来这走了一遭， 奇迹般万物生长， 这里是我的心。 ——周将 《沙漠》 仅此一首诗，一首正反读都有味道的诗分享给大家！ 不要做无谓的回忆，过往的无畏回忆或在将来成为你思想前进路上的绊脚石。阅读全文>>