Yakit

国产之光Yakit——POC模拟神器

概要介绍Yakit是一个高度集成化的Yak语言安全能力的安全测试平台,使用Yakit,可以做到:类Burpsuite的MITM劫持操作台查看所有劫持到的请求的历史记录以及分析请求的参数全球第一个可视化的
测试开发Kevin·2024-01-20 08:39

神器yakit之web fuzzer功能

前言yakit并不像burp一样单独设置爆破模块,但是yakit也是可以爆破的,并且更好用(个人感觉)。
夜未至·2024-01-20 08:36

记一次yakit对雷池WAF社区版功能的测试

yakit界面点击专项漏洞检测,输入服务器IP地址,选择thinkphp8个漏洞插件开打我在服务器上部署了雷池WAF社区版,选择攻击时间点过滤出9条,本次所有攻击都被发现拦截。
小名空鵼·2024-01-04 07:00

单兵渗透工具-Yakit-Windows安装使用

下载地址及官网文档Yakit是可以团队使用的https://www.yaklang.io/products/download_and_install/#download下载就不用多说了,什么系统下什么版本即可安装
常家壮·2023-11-25 23:12

Yakit工具篇:WebFuzzer模块之重放和爆破

简介Yakit的WebFuzzer模块支持用户自定义HTTP原文发送请求。为了让用户使用简单,符合直觉,只需要关心数据相关信息,Yakit后端(yaklang)做了很多工作。
黄乔国PHP|JAVA|安全·2023-11-25 23:07

Yakit工具篇:WebFuzzer模块之序列操作

Yakit里面实现起来相对来说就比较容易了。接下来我们一起来看看在文件上传的
黄乔国PHP|JAVA|安全·2023-11-25 23:07

Yakit工具篇:中间人攻击(平替Burp)的相关技巧-03

History的详细解释所有流经Yakit的请求,都会在History中记录下来,我们可以通过该页面,查看传输的数据内容,对数据进行测试和验证。
黄乔国PHP|JAVA|安全·2023-11-25 23:36

Yakit & HTB: BountyHunter 从战场实况到武器化

一份来自官方的Yakit实战案例0x00背景当我们说单兵装备的时候,我们通常在说“我们有什么功能?”,但是如何保证我们的功能是真的有效的?或者如何自我更新迭代,更新更好的插件,更优秀的贴近实战的功能?
YakProject·2023-11-25 23:30

Yakit实战技巧:用MITM热加载任意修改流量

背景用户在使用YakitMITM功能的时候,经常会遇到一些特殊需求:我的数据包需要携带一些特征变量才能访问,但是浏览器无法做到,我可以批量修改流量新增某一个Header吗?我可以在代理层面在所有流量中新增一个参数吗?这类需要动态修改流量并放行的需求如果手动操作的话,非常复杂。需要劫持到数据包,然后修改数据包,手动放行,不是不可以完成,而是这样的操作并不是自动化的,人工操作多了很容易疲倦漏掉一些关键
YakProject·2023-11-25 23:00

Yakit工具篇:WebFuzzer模块之热加载技术

Yakit的WebFuzzer中,热加载是一种高级技术,让Yak成为WebFuzzer和用户自定义代码中的桥梁,它允许我们编写一段Yak函数,在WebFuzzer过程中使用,从而实现自定义fuzztag
黄乔国PHP|JAVA|安全·2023-11-25 23:26

如何验证命令执行漏洞(无回显)

如何验证命令执行漏洞(无回显)使用yakit,选择dnslog模块点击生成一个可用域名以dvwa为例命令执行ping一下刚才的域名随后yakit中会出现回显信息,以此证明拥有命令执行漏洞信息,以此证明拥有命令执行漏洞
order libra·2023-11-21 18:53

使用 Socks5 来劫持 HTTPS(TCP-TLS) 之旅

实际在MITM使用过程中,BurpSuite和Yakit提供的交互式劫持工具只能劫持HTTP代理的TLS流量;但是这样是不够的,有时候我们并不能确保HTTP代理一定生效,或者说特定的后端只支持TCP传输层代理
zkzq·2023-11-11 03:04

WAF,Yakit,SSH 小技巧

文章目录WAF,Yakit,SSH小技巧1.WAF文件上传绕过2.Yakit暴力破解3.SSH免密码登录4.SSRF配合redis未授权漏洞4.1安装ssh4.2redis未授权4.3安装redis4.4Gopher
来日可期x·2023-10-25 02:18

Yakit工具篇:中间人攻击(平替Burp)的相关技巧-02

3.设置下游代理,比如把Yakit的流量发给另一个代
黄乔国PHP|JAVA|安全·2023-10-23 21:08

yakit使用爆破编码明文_dnslog使用

yakit使用爆破编码密码文章目录yakit使用爆破编码密码yakit使用1yakit编码密码进行爆破2准备eval.php文件放入web3访问`http://192.168.225.206/eval.php
煜磊·2023-10-22 19:54

Yakit工具篇:中间人攻击(平替Burp)的相关技巧-01

简介(来自官方文档)背景“MITM”是“Man-in-the-Middle”的缩写,意思是中间人攻击。MITM攻击是一种网络攻击技术,攻击者通过欺骗的手段,让自己成为通信双方之间的中间人,从而可以窃取双方之间的通信内容、修改通信内容、甚至篡改通信流量,从而实现窃取信息、伪造信息等攻击目的。“未知攻,焉知防”,在渗透测试中,MITM劫持可以被用来模拟真实的黑客攻击,以测试系统和应用程序的安全性。渗透
黄乔国PHP|JAVA|安全·2023-10-22 15:09

Yakit工具篇:专项漏洞检测的配置和使用

Yakit通过对常见的中间件、CMS、框架、组件进行总结、归纳,并针对这些组件对其常见的高危漏洞进行了整理。通过预制漏洞源码,对可以对某类特定目标进行专项的漏洞检测,可以自定义新增poc种类。
黄乔国PHP|JAVA|安全·2023-10-22 14:36

waf、yakit和ssh免密登录

YAKIT暴力破
网安咸鱼1517·2023-10-20 09:49

脏数据绕过waf,Yakit爆破base64编码密码,ssh无密码登录受害主机

文章目录waf、Yakit、ssh技巧waf脏数据绕过Yakit工具对明文密码通过base64编码的格式进行爆破SSH实操waf、Yakit、ssh技巧waf脏数据绕过以pikachu靶场的文件上传功能为例上传一个木马图片显示已拦截
g_h_i·2023-10-19 23:22

Yakit工具篇:子域名收集的配置和使用

简介(来自官方文档)子域名收集是指通过各种技术手段,收集某个主域名下所有的子域名列表。子域名是指在主域名前面添加一级或多级名称的域名。例如,对于主域名example.com,其子域名可以是www.example.com、mail.example.com、blog.example.com等等。子域名收集的原理主要涉及以下几个方面:域名解析:域名解析是将域名解析为对应IP地址的过程。在子域名收集过程中
黄乔国PHP|JAVA|安全·2023-10-19 02:17

Yakit工具篇:综合目录扫描与爆破的使用

简介(来自官方文档)目录扫描是一种常用的Web应用程序安全测试技术,用于发现Web应用程序中存在的可能存在的漏洞和弱点。其原理是通过对Web应用程序中的目录和文件进行遍历,来发现可能存在的安全漏洞和风险。具体来说,目录扫描工具会通过程序自动化的方式,生成大量的HTTP请求,并请求Web应用程序中的所有可能存在的目录和文件。当Web应用程序返回200状态码时,表示该目录或文件存在;当Web应用程序返
黄乔国PHP|JAVA|安全·2023-10-19 02:17

Yakit工具篇:爆破与未授权检测的使用

简介(来自官方文档)爆破和未授权检测是网络安全领域中一种常见的测试技术,其主要目的是测试系统或应用程序中的口令是否强健,Yakit的爆破与未授权检测模块则实现了该部分的内容。
黄乔国PHP|JAVA|安全·2023-10-19 02:47

一款想替代并超越burpsuite的网络安全单兵工具

项目地址:https://github.com/yaklang/yakit官网安装及使用教程:https://www.yaklang.io/docs/startup免责声明本工具仅面向合法授权的企业安全建设行为与个人学习行为
小黑安全·2023-10-19 02:46

Yakit工具篇:端口探测和指纹扫描的配置和使用

也是Yakit基础工具的模块之一。端口扫描是指通过扫描目标系统上的端口,确定哪些端口是开放的,并确定这些开放的端口上运行的服务类型和版本信息。
黄乔国PHP|JAVA|安全·2023-10-19 02:12

绕过防火墙

1.pikuchu靶场位置该文件然后找到install文件初始化创建就ok了安全狗搭建bug解决进入apache目录命令安全狗安装重启web服务绕过前端绕过waf阻拦脏数据成功二.yakit中国版的bp
网络安全ggb·2023-10-18 20:16

解码yakit 适配中国的 只要base64加密直接yakit

中国版的bp浏览器上代理文件服务器yakityakit劫持启动配置代理报错爆破模糊字典选择admin选择第一步第二步成功
网络安全ggb·2023-10-18 20:09

一文解决APP+小程序+电脑端小程序抓https数据包问题

首先我们需要一个抓包神器yakit,实战中这个软件非常强大,数据劫持支持http2.0和国密TLS。有了这么强大的工具我们就可以开始解决APP小程序抓包问题了。
akucoco·2023-10-15 14:51

Yso-Java Hack 进阶:利用反序列化漏洞打内存马

生成内存马现在Yakit暂时还没有shell管理功能,所以就选用哥斯拉做shell管理工具。
程序员桔子·2023-10-15 14:50

Yakit工具篇:简介和安装使用

简介(来自官方文档)基于安全融合的理念,Yaklang.io团队研发出了安全领域垂直语言Yaklang,对于一些无法原生集成在Yak平台中的产品/工具,利用Yaklang可以重新编写他们的“高质量替代”。对于一些生态完整且认可度较高的产品,Yaklang能直接编译融合,并对源码进行必要修改,更好地适配Yaklang语言。但是限于使用形式,用户想要熟练使用Yak语言,需要学习Yak语言并同时具备对安
黄乔国PHP|JAVA|安全·2023-10-15 14:15

渗透测试工具All-Defense-Tool

GitHub-lz520520/railgunRailgun单兵作战武器库,你值得拥有GitHub-yaklang/yakit:CyberSecurityALL-IN-O
galaxylove·2023-09-29 08:57

基础漏洞练习

,提示接受url参数,并且没有任何过滤,这里可能存在ssrf使用POST方式测试百度,确定存在ssrf因为存在ssrf,可以访问只有本地才能访问的文件,拿到flagCSRF这里以DVWA的靶场为例使用Yakit
blackK_YC·2023-09-17 10:42

WebGoat搭建和Yakit学习

环境搭建jdk版本:openjdkversion"17.0.5“WebGoat版本:webgoat-server-8.1.0.jar环境不同有很大可能不能搭建成功运行命令:java-jarwebgoat-server-8.1.0.jar--server.port=8888--server.address=192.168.142.131搭建完成后浏览器访问完成注册后就可以开始使用JWTJWT详解jw
blackK_YC·2023-09-15 04:15

Yakit学习

Yakit下载下载地址:yaklang/yakit:CyberSecurityALL-IN-ONEPlatform(github.com)MITM交互式劫持这个模块相当于burpsuite的proxy模块
blackK_YC·2023-09-15 04:45

Yakit: 集成化单兵安全能力平台使用教程·Web Fuzzer篇

Yakit:集成化单兵安全能力平台使用教程·WebFuzzer篇1.数据包共享2.数据包扫描3.使用WebFuzzer进行模糊测试4.常用fuzz标签5.热加载Fuzz1.数据包共享分享/导入功能可用于信息分享
世界尽头与你·2023-06-10 05:22

网络安全单兵工具 -- YAKIT

网络安全单兵工具--YAKIT一、下载及安装1、原作者及下载地址https://github.com/yaklang/yakit2、双击下载好的exe文件,点击核心引擎安装与升级3、点击意见更新Yak引擎
web安全工具库·2023-04-21 14:16

渗透实战-抓取APP流量包

渗透实战-抓取APP流量包前言Yakit使用抓取语雀流量包前言现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序,微信公众号进行测试。
beirry·2023-02-21 11:28
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他