gitextract_30vm98j4/ ├── .github/ │ ├── .markdownlint.json │ ├── FUNDING.yml │ ├── hopla_config.json │ ├── overrides/ │ │ └── main.html │ └── workflows/ │ ├── check-markdown.yml │ └── mkdocs-build.yml ├── .gitignore ├── API Key Leaks/ │ ├── Files/ │ │ └── MachineKeys.txt │ ├── IIS-Machine-Keys.md │ └── README.md ├── Account Takeover/ │ ├── README.md │ └── mfa-bypass.md ├── Brute Force Rate Limit/ │ └── README.md ├── Business Logic Errors/ │ └── README.md ├── CONTRIBUTING.md ├── CORS Misconfiguration/ │ └── README.md ├── CRLF Injection/ │ ├── Files/ │ │ └── crlfinjection.txt │ └── README.md ├── CSS Injection/ │ └── README.md ├── CSV Injection/ │ └── README.md ├── CVE Exploits/ │ ├── Log4Shell.md │ └── README.md ├── Clickjacking/ │ └── README.md ├── Client Side Path Traversal/ │ └── README.md ├── Command Injection/ │ ├── Intruder/ │ │ ├── command-execution-unix.txt │ │ └── command_exec.txt │ └── README.md ├── Cross-Site Request Forgery/ │ └── README.md ├── DISCLAIMER.md ├── DNS Rebinding/ │ └── README.md ├── DOM Clobbering/ │ └── README.md ├── Denial of Service/ │ └── README.md ├── Dependency Confusion/ │ └── README.md ├── Directory Traversal/ │ ├── Intruder/ │ │ ├── deep_traversal.txt │ │ ├── directory_traversal.txt │ │ ├── dotdotpwn.txt │ │ └── traversals-8-deep-exotic-encoding.txt │ └── README.md ├── Encoding Transformations/ │ └── README.md ├── External Variable Modification/ │ └── README.md ├── File Inclusion/ │ ├── Files/ │ │ ├── LFI2RCE.py │ │ ├── phpinfolfi.py │ │ └── uploadlfi.py │ ├── Intruders/ │ │ ├── BSD-files.txt │ │ ├── JHADDIX_LFI.txt │ │ ├── LFI-FD-check.txt │ │ ├── LFI-WindowsFileCheck.txt │ │ ├── Linux-files.txt │ │ ├── List_Of_File_To_Include.txt │ │ ├── List_Of_File_To_Include_NullByteAdded.txt │ │ ├── Mac-files.txt │ │ ├── Traversal.txt │ │ ├── Web-files.txt │ │ ├── Windows-files.txt │ │ ├── dot-slash-PathTraversal_and_LFI_pairing.txt │ │ ├── php-filter-iconv.txt │ │ └── simple-check.txt │ ├── LFI-to-RCE.md │ ├── README.md │ └── Wrappers.md ├── Google Web Toolkit/ │ └── README.md ├── GraphQL Injection/ │ └── README.md ├── HTTP Parameter Pollution/ │ └── README.md ├── Headless Browser/ │ ├── README.md │ └── files/ │ ├── iframe.html │ └── window_location_js.html ├── Hidden Parameters/ │ └── README.md ├── Insecure Deserialization/ │ ├── DotNET.md │ ├── Files/ │ │ ├── Ruby_universal_gadget_generate_verify.rb │ │ ├── node-serialize.js │ │ └── ruby-serialize.yaml │ ├── Java.md │ ├── Node.md │ ├── PHP.md │ ├── Python.md │ ├── README.md │ └── Ruby.md ├── Insecure Direct Object References/ │ └── README.md ├── Insecure Management Interface/ │ ├── Intruder/ │ │ └── springboot_actuator.txt │ └── README.md ├── Insecure Randomness/ │ └── README.md ├── Insecure Source Code Management/ │ ├── Bazaar.md │ ├── Files/ │ │ └── github-dorks.txt │ ├── Git.md │ ├── Mercurial.md │ ├── README.md │ └── Subversion.md ├── JSON Web Token/ │ └── README.md ├── Java RMI/ │ └── README.md ├── LDAP Injection/ │ ├── Intruder/ │ │ ├── LDAP_FUZZ.txt │ │ ├── LDAP_FUZZ_SMALL.txt │ │ └── LDAP_attributes.txt │ └── README.md ├── LICENSE ├── LaTeX Injection/ │ └── README.md ├── Mass Assignment/ │ └── README.md ├── Methodology and Resources/ │ ├── Active Directory Attack.md │ ├── Bind Shell Cheatsheet.md │ ├── Cloud - AWS Pentest.md │ ├── Cloud - Azure Pentest.md │ ├── Cobalt Strike - Cheatsheet.md │ ├── Container - Docker Pentest.md │ ├── Container - Kubernetes Pentest.md │ ├── Escape Breakout.md │ ├── HTML Smuggling.md │ ├── Hash Cracking.md │ ├── Initial Access.md │ ├── Linux - Evasion.md │ ├── Linux - Persistence.md │ ├── Linux - Privilege Escalation.md │ ├── MSSQL Server - Cheatsheet.md │ ├── Metasploit - Cheatsheet.md │ ├── Methodology and enumeration.md │ ├── Network Discovery.md │ ├── Network Pivoting Techniques.md │ ├── Office - Attacks.md │ ├── Powershell - Cheatsheet.md │ ├── Reverse Shell Cheatsheet.md │ ├── Source Code Management.md │ ├── Vulnerability Reports.md │ ├── Web Attack Surface.md │ ├── Windows - AMSI Bypass.md │ ├── Windows - DPAPI.md │ ├── Windows - Defenses.md │ ├── Windows - Download and Execute.md │ ├── Windows - Mimikatz.md │ ├── Windows - Persistence.md │ ├── Windows - Privilege Escalation.md │ └── Windows - Using credentials.md ├── NoSQL Injection/ │ ├── Intruder/ │ │ ├── MongoDB.txt │ │ └── NoSQL.txt │ └── README.md ├── OAuth Misconfiguration/ │ └── README.md ├── ORM Leak/ │ └── README.md ├── Open Redirect/ │ ├── Intruder/ │ │ ├── Open-Redirect-payloads.txt │ │ ├── open_redirect_wordlist.txt │ │ └── openredirects.txt │ └── README.md ├── Prompt Injection/ │ └── README.md ├── Prototype Pollution/ │ └── README.md ├── README.md ├── Race Condition/ │ └── README.md ├── Regular Expression/ │ └── README.md ├── Request Smuggling/ │ └── README.md ├── Reverse Proxy Misconfigurations/ │ └── README.md ├── SAML Injection/ │ └── README.md ├── SQL Injection/ │ ├── BigQuery Injection.md │ ├── Cassandra Injection.md │ ├── DB2 Injection.md │ ├── Intruder/ │ │ ├── Auth_Bypass.txt │ │ ├── Auth_Bypass2.txt │ │ ├── FUZZDB_MSSQL-WHERE_Time.txt │ │ ├── FUZZDB_MSSQL.txt │ │ ├── FUZZDB_MSSQL_Enumeration.txt │ │ ├── FUZZDB_MYSQL.txt │ │ ├── FUZZDB_MySQL-WHERE_Time.txt │ │ ├── FUZZDB_MySQL_ReadLocalFiles.txt │ │ ├── FUZZDB_Oracle.txt │ │ ├── FUZZDB_Postgres_Enumeration.txt │ │ ├── Generic_ErrorBased.txt │ │ ├── Generic_Fuzz.txt │ │ ├── Generic_TimeBased.txt │ │ ├── Generic_UnionSelect.txt │ │ ├── SQL-Injection │ │ ├── SQLi_Polyglots.txt │ │ ├── payloads-sql-blind-MSSQL-INSERT │ │ ├── payloads-sql-blind-MSSQL-WHERE │ │ ├── payloads-sql-blind-MySQL-INSERT │ │ ├── payloads-sql-blind-MySQL-ORDER_BY │ │ └── payloads-sql-blind-MySQL-WHERE │ ├── MSSQL Injection.md │ ├── MySQL Injection.md │ ├── OracleSQL Injection.md │ ├── PostgreSQL Injection.md │ ├── README.md │ ├── SQLite Injection.md │ └── SQLmap.md ├── Server Side Include Injection/ │ ├── Files/ │ │ └── ssi_esi.txt │ └── README.md ├── Server Side Request Forgery/ │ ├── Files/ │ │ └── ip.py │ ├── README.md │ ├── SSRF-Advanced-Exploitation.md │ └── SSRF-Cloud-Instances.md ├── Server Side Template Injection/ │ ├── ASP.md │ ├── Elixir.md │ ├── Intruder/ │ │ └── ssti.fuzz │ ├── Java.md │ ├── JavaScript.md │ ├── PHP.md │ ├── Python.md │ ├── README.md │ └── Ruby.md ├── Tabnabbing/ │ └── README.md ├── Type Juggling/ │ └── README.md ├── Upload Insecure Files/ │ ├── CVE FFmpeg HLS/ │ │ ├── gen_avi_bypass.py │ │ └── gen_xbin_avi.py │ ├── CVE ZIP Symbolic Link/ │ │ ├── generate.sh │ │ └── passwd │ ├── Configuration Apache .htaccess/ │ │ ├── .htaccess │ │ ├── .htaccess_phpinfo │ │ ├── .htaccess_rce_files │ │ ├── .htaccess_shell │ │ └── README.md │ ├── Configuration IIS web.config/ │ │ └── web.config │ ├── Configuration Python __init__.py/ │ │ └── python-generate-init.py │ ├── Configuration uwsgi.ini/ │ │ └── uwsgi.ini │ ├── EICAR/ │ │ └── eicar.txt │ ├── Extension ASP/ │ │ ├── extensions.lst │ │ ├── shell.asa │ │ ├── shell.ashx │ │ ├── shell.asmx │ │ ├── shell.asp │ │ ├── shell.aspx │ │ ├── shell.cer │ │ ├── shell.soap │ │ └── shell.xamlx │ ├── Extension HTML/ │ │ └── xss.html │ ├── Extension PHP/ │ │ ├── extensions.lst │ │ ├── php-script-tag.php │ │ ├── phpinfo.jpg.php │ │ ├── phpinfo.phar │ │ ├── phpinfo.php │ │ ├── phpinfo.php3 │ │ ├── phpinfo.php4 │ │ ├── phpinfo.php5 │ │ ├── phpinfo.php7 │ │ ├── phpinfo.php8 │ │ ├── phpinfo.phpt │ │ ├── phpinfo.pht │ │ ├── phpinfo.phtml │ │ ├── shell.gif^shell.php │ │ ├── shell.jpeg.php │ │ ├── shell.jpg.php │ │ ├── shell.jpg^shell.php │ │ ├── shell.pgif │ │ ├── shell.phar │ │ ├── shell.php │ │ ├── shell.php3 │ │ ├── shell.php4 │ │ ├── shell.php5 │ │ ├── shell.php7 │ │ ├── shell.phpt │ │ ├── shell.pht │ │ ├── shell.phtml │ │ ├── shell.png.php │ │ ├── shell.png^shell.php │ │ └── tiny.php │ ├── Jetty RCE/ │ │ └── JettyShell.xml │ ├── Picture Compression/ │ │ ├── createBulletproofJPG.py │ │ ├── createCompressedPNG_110x110.php │ │ ├── createGIFwithGlobalColorTable.php │ │ └── createPNGwithPLTE.php │ ├── Picture ImageMagick/ │ │ ├── imagetragik1_payload_url_bind_shell_nc.mvg │ │ ├── imagetragik1_payload_url_remote_connection.mvg │ │ ├── imagetragik1_payload_url_reverse_shell_bash.mvg │ │ ├── imagetragik1_payload_xml_reverse_shell_nctraditional.xml │ │ └── imagetragik1_payload_xml_reverse_shell_netcat_encoded.xml │ ├── Picture Metadata/ │ │ └── Build_image_to_LFI.py │ ├── README.md │ └── Server Side Include/ │ ├── exec.shtml │ ├── include.shtml │ └── index.stm ├── Virtual Hosts/ │ └── README.md ├── Web Cache Deception/ │ ├── Intruders/ │ │ └── param_miner_lowercase_headers.txt │ └── README.md ├── Web Sockets/ │ ├── Files/ │ │ └── ws-harness.py │ └── README.md ├── XPATH Injection/ │ └── README.md ├── XS-Leak/ │ └── README.md ├── XSLT Injection/ │ ├── Files/ │ │ ├── enum-system-version-vendor.xsl │ │ ├── file-write.xsl │ │ ├── rce-dotnet-2.xsl │ │ ├── rce-dotnet.xsl │ │ ├── rce-java-1.xsl │ │ ├── rce-java-2.xsl │ │ ├── rce-php-assert.xsl │ │ ├── rce-php-file-create.xsl │ │ ├── rce-php-file-read.xsl │ │ ├── rce-php-meterpreter.xsl │ │ ├── rce-php-scandir.xsl │ │ ├── read-and-ssrf.xsl │ │ ├── system-properties.xml │ │ ├── system-properties.xsl │ │ └── xxe.xsl │ └── README.md ├── XSS Injection/ │ ├── 1 - XSS Filter Bypass.md │ ├── 2 - XSS Polyglot.md │ ├── 3 - XSS Common WAF Bypass.md │ ├── 4 - CSP Bypass.md │ ├── 5 - XSS in Angular.md │ ├── Files/ │ │ ├── InsecureFlashFile.swf │ │ ├── JupyterNotebookXSS.ipynb │ │ ├── SWF_XSS.swf │ │ ├── xml.xsd │ │ ├── xss.cer │ │ ├── xss.dtd │ │ ├── xss.htm │ │ ├── xss.html.demo │ │ ├── xss.hxt │ │ ├── xss.mno │ │ ├── xss.rdf │ │ ├── xss.svgz │ │ ├── xss.url.url │ │ ├── xss.vml │ │ ├── xss.wsdl │ │ ├── xss.xht │ │ ├── xss.xhtml │ │ ├── xss.xml │ │ ├── xss.xsd │ │ ├── xss.xsf │ │ ├── xss.xsl │ │ └── xss.xslt │ ├── Intruders/ │ │ ├── 0xcela_event_handlers.txt │ │ ├── BRUTELOGIC-XSS-JS.txt │ │ ├── BRUTELOGIC-XSS-STRINGS.txt │ │ ├── IntrudersXSS.txt │ │ ├── JHADDIX_XSS.txt │ │ ├── MarioXSSVectors.txt │ │ ├── RSNAKE_XSS.txt │ │ ├── XSSDetection.txt │ │ ├── XSS_Polyglots.txt │ │ ├── jsonp_endpoint.txt │ │ ├── port_swigger_xss_cheatsheet_event_handlers.txt │ │ ├── xss_alert.txt │ │ ├── xss_alert_identifiable.txt │ │ ├── xss_payloads_quick.txt │ │ └── xss_swf_fuzz.txt │ └── README.md ├── XXE Injection/ │ ├── Files/ │ │ ├── Classic XXE - etc passwd.xml │ │ ├── Classic XXE B64 Encoded.xml │ │ ├── Classic XXE.xml │ │ ├── Deny Of Service - Billion Laugh Attack │ │ ├── XXE OOB Attack (Yunusov, 2013).xml │ │ └── XXE PHP Wrapper.xml │ ├── Intruders/ │ │ ├── XXE_Fuzzing.txt │ │ └── xml-attacks.txt │ └── README.md ├── Zip Slip/ │ └── README.md ├── _LEARNING_AND_SOCIALS/ │ ├── BOOKS.md │ ├── TWITTER.md │ └── YOUTUBE.md ├── _template_vuln/ │ └── README.md ├── custom.css └── mkdocs.yml