RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述

主要关注学术界使用SAST(Static Application Security Testing,静态应用安全测试)对PHP应用进行漏洞挖掘的一些研究,希望能够回答“在使用静态分析对PHP应用进行漏洞挖掘时,会面临哪些挑战以及对应的解决方案”。

  • 2
  • 2
  • LionTree
  • 发布于 2025-05-08 09:35:14
  • 阅读 ( 6964 )

JDK高版本的模块化以及反射类加载限制绕过

稍微学习了一下

  • 0
  • 2
  • stoocea
  • 发布于 2024-09-23 10:00:01
  • 阅读 ( 8963 )

Yakit 热加载初探(1)——手把手交你验证码识别

用yakit的热加载魔术方法实现webfuzzer功能中的验证码识别。

  • 3
  • 2
  • best1a
  • 发布于 2024-05-06 09:00:00
  • 阅读 ( 22655 )

红队工具研究篇 - SliverC2 Stager研究(上)

本文介绍 Sliver Stager ,由浅入深从原理概念、使用介绍再到三种自定义编写 Stager 的方法,此外还有执行效果演示、通信流量分析和两种免杀尝试的技术分享。

  • 2
  • 2
  • xigua
  • 发布于 2023-05-19 14:46:17
  • 阅读 ( 15718 )

JNI、JNA、JNR的浅入浅出

如何不依赖java原生命令执行类去实现命令执行

  • 1
  • 2
  • w1nk1
  • 发布于 2023-05-11 10:09:25
  • 阅读 ( 11106 )

用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析(二)

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第六篇,是对前面 "用 Yara 对红队工具 打标(四)——cobaltstrike 生成马浅析" 文章中剩余部分的一点补充。

用 Yara 对红队工具 "打标"(三)——免杀类规则提取(二)

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第四篇,是对前面 "用 Yara 对红队工具 "打标"(三)——免杀类规则提取" 文章中剩余部分的补充。

Cobaltstrike4.0 学习——验证机制学习

简单记录了下cs4.0 的授权验证的学习过程

  • 2
  • 2
  • Ga0WeI
  • 发布于 2022-08-29 09:55:28
  • 阅读 ( 11555 )

关于文件捆绑的实现

  • 6
  • 2
  • Macchiato
  • 发布于 2022-08-05 09:55:10
  • 阅读 ( 15998 )

奇安信攻防社区文章转换工具

社区提供的md在线写作编辑框对我来说实在是太小了,并且将本地图片文件上传到编辑框的过程实在是体验不佳,所以写了一个文章转换脚本,脚本编写的过程也是提供给各位师傅开发工具的一点点思路。

  • 4
  • 2
  • dota_st
  • 发布于 2022-02-07 14:05:56
  • 阅读 ( 12409 )

0成本快速创建高匿HTTP/DNS LOG

0成本保姆级手把手教你搭建自己专属的高匿HTTP/DNS LOG,从此挖洞无忧!

  • 4
  • 2
  • xq17
  • 发布于 2021-12-31 09:43:44
  • 阅读 ( 14274 )

某查企业信息快速收集工具开发

本文在于分享爬虫思路与技巧,该处只收集三个信息,想要收集其他的可自己更改代码,代码请自行替换***域名为某查域名。

  • 2
  • 2
  • soufaker
  • 发布于 2021-12-30 16:03:01
  • 阅读 ( 10223 )

Brupsuite被动扫描Log4j2插件临时修改

Brupsuite被动扫描Log4j2插件临时修改,记录一次将想法化为行动的经历

  • 3
  • 2
  • K0u_az
  • 发布于 2021-12-14 11:37:06
  • 阅读 ( 15020 )

静默退出 DUMP LSASS.EXE

  • 0
  • 2
  • Macchiato
  • 发布于 2021-11-22 09:37:59
  • 阅读 ( 9908 )

CS免杀-剪切板加载器

剪切板加载器

  • 1
  • 2
  • XG小刚
  • 发布于 2021-09-24 14:51:26
  • 阅读 ( 9718 )

trapfuzzer 源码分析

# 概述 我们知道目前用到比较多的Fuzz工具为AFL以及其衍生产品,比如`winafl`等。这类工具一般针对小程序,如果需要测试一些大型软件则需要做额外的适配工作,往往需要分析目标处理数据的函...

  • 0
  • 2
  • hac425
  • 发布于 2021-09-16 11:49:58
  • 阅读 ( 10815 )

Java反序列化数据绕WAF之延时分块传输

让分块传输重振往日雄风

  • 3
  • 2
  • c0ny1
  • 发布于 2021-08-21 11:53:58
  • 阅读 ( 10535 )

冰蝎内存webshell注入和防检测分析

从最开始的Godzilla客户端的注入内存webshell功能,到现在冰蝎hook注入,内存webshell攻防对抗已经开始激烈起来,最初Godzilla使用的是添加servlet,rebeyond使用的是添加filter,然后出现了一些使用注入jar包检测新加载class进而检测内存马的项目,到冰蝎不加载新class,而是使用注入jar包hook方法实现内存webshell,且开始尝试防止其他jar注入,加载的class的包名混淆绕过检测等等。本篇来研究冰蝎内存马机制和防注入原理。

  • 0
  • 2
  • ChanGeZ
  • 发布于 2021-08-17 17:16:15
  • 阅读 ( 14305 )

CS免杀-环境补充

前几文忘记标注python环境了,环境不同会导致很多问题的。。。

  • 2
  • 2
  • XG小刚
  • 发布于 2021-08-13 09:57:55
  • 阅读 ( 10565 )

自动化xss检测工具及其利用

XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSS。XSS注入攻击的原理其实和sql注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。

  • 4
  • 2
  • 和风
  • 发布于 2021-07-27 10:41:28
  • 阅读 ( 14707 )