小草窝博客

2022-9-5阅读(881)评论(1)

Sliver 是一个基于Go的开源、跨平台的红队平台，可供各种规模的组织用于执行安全测试。 Sliver 的木马 支持 C2 over Mutual-TLS、HTTP(S) 和 DNS等协议。 implant可以时时编译生成，并会使用证书进行加密。 基于Go语言的特性，服务器和客户端以及implant都支持 MacOS、Windows 和 Linux。...

2021-9-24阅读(5804)评论(1)

crawlergo是一个使用chrome headless模式进行URL收集的浏览器爬虫。它对整个网页的关键位置与DOM渲染阶段进行HOOK，自动进行表单填充并提交，配合智能的JS事件触发，尽可能的收集网站暴露出的入口。内置URL去重模块，过滤掉了大量伪静态URL，对于大型网站仍保持较快的解析与抓取速度，最后得到高质量的请求结果集合。 crawlerg...

2021-6-28阅读(2140)评论(0)

Go默认编译会自带一堆信息，通过这些信息基本可以还原Go的源码架构， 本文就是研究如何消除或者混淆这些信息，记录了这个研究过程，如果不想看可以直接跳到文章末尾，文章末尾提供了一款工具，可以一键消除Go二进制中的这些敏感信息。 但还是推荐看看研究过程，可以明白这个工具的运行原理。 从逆向Go开始先写一个简单的程序 我的go版本是 go version...

2021-3-25阅读(2567)评论(2)

简介 Nuclei is a fast tool for configurable targeted vulnerability scanning based on templates offering massive extensibility and ease of use. Github: https://g...

2021-3-12阅读(1888)评论(2)

httpx is a fast and multi-purpose HTTP toolkit allows to run multiple probers using retryablehttp library, it is designed to maintain the result reliability with increased t...

2021-2-11阅读(6489)评论(0)

ProjectDiscovery组织开源了很多自动化扫描的内部工具和研究，例如subfinder 被动子域名发现工具、nuclei 基于模板的可配置快速扫描工具、naabu 端口扫描器、dnsprobe dns解析器、httpx 多功能http工具包，它们都是基于Go语言编写，并且在实际渗透中有极大的作用。我非常喜欢这个组织开源的软件，它也是我学习Go...

2021-2-7阅读(1544)评论(0)

有人问我w13scan和arachni的区别，之前没接触过，正好放假有空就看看这个扫描器。 Arachni是一个包含很多特性、模块化的、高性能的Ruby框架，目的是帮助渗透测试人员和管理者评估现代web应用程序的安全。Arachni是免费、源代码开源的，它支持所有主流操作系统 它是ruby写的，开源地址是 https://www.arachni-...

2020-9-2阅读(2539)评论(0)

在渗透测试信息中我们可能需要尽可能收集域名来确定资产边界。 在写自动化渗透工具的时候苦与没有好用的子域名爆破工具，于是自己就写了一个。 Ksubdomain是一个域名爆破/验证工具，它使用Go编写，支持在Windows/Linux/Mac上运行，在Mac和Windows上最大发包速度在30w/s,linux上为160w/s的速度。 总的来说，k...

2018-12-22阅读(3054)评论(0)

Python自己认为已经学习的差不多了，是时候尝试其他语言了，首选就是golang，跨平台和原生的并发支持吸引到了我。当然，最开始学习golang的时候，一些语法什么和python大相径庭，让我吃屎一样难受，最开始学习python的时候也是吃屎一样难受。就这样学习了几天，直至写出了我的第一个golang程序，才感受到了golang的美好~ goWhatwe...