lovelyjuice comments

Results 10 comments of


                                            lovelyjuice

可以直接爆破二级目录么？类似于爆破eee.qqq.com。程序始终会提取到qqq.com

> 试下在data/public_suffix_list.dat添加上你的二级域名批量测试的时候可以添加一个 ```"*.*.*"``` 吗

When I scan a file, the command line doesn't scan, it stays where it is

不支持三级域名吗？比如输入主域名 tsinghua.edu.cn ，扫描到的子域名却是国内所有edu.cn的站点

通过`less client/logs/domain-2021-03-04.log`查看日志，发现rapid7查询到的子域名数量过多。 ``` 2021-03-04 10:12:19.602 [DEBU] 子域名扫描开始进行被动搜索子域名:**打码**.edu.cn 2021-03-04 10:12:19.603 [DEBU] 子域名扫描开始进行rapid7查询子域名 2021-03-04 10:12:20.862 [INFO] 子域名扫描被动子域名探测结果[19]个 2021-03-04 10:13:48.459 [DEBU] 子域名扫描 Rapid7查询共计[114859]个 2021-03-04 10:13:48.498 [INFO] 子域名扫描子域名扫描完毕,共计[111926]个 2021-03-04 11:01:12.099...

不支持三级域名吗？比如输入主域名 tsinghua.edu.cn ，扫描到的子域名却是国内所有edu.cn的站点

那就拜托大佬了，希望hw开始前能发布新版

DES密钥过长导致error

burp 2022.8.2 jdk 11 同样的问题，同样的解决办法

检测利用链失败

看了下2.2版本的shiro_attack，检测`CommonsCollectionsK1 回显方式: TomcatEcho`利用链的方式是请求头设置一个techo头，在响应头中打印出来，此时虽然仍然返回deleteMe但是确实执行代码了。 ![image](https://github.com/SummerSec/ShiroAttack2/assets/20644461/16e24ab8-3546-45c0-8db8-881064f8348d) 4.7版本就直接无法检测出来，不知道使用的何种检测方式 ![image](https://github.com/SummerSec/ShiroAttack2/assets/20644461/c9ba56c6-d980-483e-99ad-2667dfcaadf9)

lovelyjuice

可以直接爆破二级目录么？类似于爆破eee.qqq.com。程序始终会提取到qqq.com

When I scan a file, the command line doesn't scan, it stays where it is

不支持三级域名吗？比如输入主域名 tsinghua.edu.cn ，扫描到的子域名却是国内所有edu.cn的站点

不支持三级域名吗？比如输入主域名 tsinghua.edu.cn ，扫描到的子域名却是国内所有edu.cn的站点

DES密钥过长导致error

检测利用链失败

域名资产

所以,要怎么检查自己是否已经中招呢？

哥斯拉 Swing SSRF/RCE 临时修复插件

哥斯拉 Swing SSRF/RCE 临时修复插件