文章列表
2020年度第一季度限号已经完成
一、一季度限号已经完成2020年一季度限号已经如期进行,由于2019年第三季度第四季度均没有限号,此次限号帐号比较多,请大家及时关注账号的状态,如有需要请购买复活码恢复。复活码购买:https://www.t00ls.com/revive.php复活码可以联系注册会员、荣誉会员或者管理团队索取。或者在“T00ls转生池”版
python代码注入
1.限号季,发一下之前的一点笔记写的很浅显希望各位大佬勿喷.在挖掘某专属厂商的时候出现了一个有意思的地方,python代码执行2.简单的进行验证一下可以发现sleep进行了执行3.基本确定存在python代码执行漏洞,但是如何利用呢,翻到一篇安全客的文章https://www.anquanke.com/post/id/84891是一篇翻译的
OpenWrt RCE(CVE-2020-7982)
OpenWRT是一款基于linux被广泛使用操作系统,主要用于路由器,住宅网关和其他路由网络流量的嵌入式设备中。在ForAllSecure的企业博客中公布了该漏洞的相关漏洞细节以及利用代码。漏洞存在于 OpenWrt 的 OPKG 包管理器中,OPKG 包管理器相当于Debian系系统的apt功能, 在OpenWRT系统中安装或升级软件就
T00ls官方壁纸第一期
下载各版本:4K壁纸2k壁纸1080P壁纸
使用JavaScript全局变量绕过WAF XSS过滤实例
声明:此漏洞站点已修复1) 前提内容先知一篇《使用JavaScript全局变量绕过XSS过滤器》的文章https://xz.aliyun.com/t/53952) 发现过程https://foosite.com/path/share.htm?redirectUrl=https://evil_site.com/发现https://evil_site.com/ 原样输出到了下列script语句window.runParams.redirectUrl='htt
无聊对某动作小视频网站的渗透
# 某小网站getshell全过程## 起因看到论坛里key师傅的一篇看va逻辑漏洞绕过付费限制,也想体验一把,哦不,是也想去举报一下这些不符合社会主义核心价值观的网站,于是就打开了收藏夹找一个网站试一试。 首先发现有个记录IP,不难想到伪造ip去xss或者sql注入 x他 可以打到xss,不过感觉一般管理
记录几种XSS绕过方式
前言:第一次发文章 不会排版 本人原本是靠签到存活的 后来有一天忘记签到..........一.服务端全局替换为空的特性 比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过 例如代码 <img src=1 oner”ror=alert(1)> 利用 某字符转换为空 来绕过 我下面写了个挖掘
人脸识别初创公司遭黑客入侵!拥有30亿张照片图库,曾遭多家科技巨头“封杀”
3 月 21 日消息,据国外媒体报道,一项新的研究显示,美国绝大多数的医疗成像设备容易受到黑客攻击,一大原因是操作系统老旧,不受支持。根据 Palo Alto Networks 旗下 Unit 42 Threat 安全团队发布的《 2020 年物联网威胁报告》,多达 83%的联网医疗成像设备(如乳房X光造影机、MRI 核磁共振成像机等等
WildPressure瞄准了中东的与工业相关的实体
在2019年8月,卡巴斯基发现了一个恶意活动,该活动分发了一个成熟的C ++木马,我们称为Milum。我们登记的所有受害者都是来自中东的组织。其中至少有一些与工业部门有关。我们的卡巴斯基威胁归因引擎(KTAE)与已知的活动没有任何代码相似之处。我们也没有看到任何目标路口。实际上,我们在一个国家中仅
伪装成新冠病毒追踪APP的勒索软件正在威胁着人们的钱包
一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传可以进行患者跟踪。用户在搜索患者跟踪APP时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用,而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个意外的后果。跟其他应用一样,COVID19 Tra
