binbin
pickle反序列化深入python源码分析
本文深入python底层,分析pickle反序列化时操作,对自主构造payload有所帮助,还以2022年美团杯ezpickle等题目作为例子,进行深入分析,非常适合初学者了解pickle反序列化
- 1
- 2
- binbin
- 发布于 2022-10-10 09:12:55
- 阅读 ( 9033 )
suansuan
Serverless扫描技术研究及应用
大家好,我是风起,本次给大家分享的是Serverless扫描技术也是我在SecTime沙龙演讲时讲到的一种隐匿扫描技术,通过Serverless(云函数)实现各种扫描器探测功能,以达到绕过态势感知、WAF等安全设备,增大蓝队研判人员溯源难度,实现封无可封,查无可查的效果。希望大家通过阅读本文能够有所收获,那么下面由我来给大家揭秘这个有趣的攻击方式吧。
- 3
- 2
- 风起
- 发布于 2021-12-06 17:55:12
- 阅读 ( 7230 )
风起
SNCKER
Fastjson远程命令执行漏洞总结
## 1.FastJson 简介 ##### fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson ##### fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBea...
- 4
- 2
- 南极进口哈士奇
- 发布于 2021-08-10 11:19:36
- 阅读 ( 7755 )
南极进口哈士奇
通过文件上传进行Getshell的不同骚姿势
# 0x01 文件上传漏洞 ## 概述: 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保...
- 4
- 2
- Zxl2605
- 发布于 2021-08-10 16:57:15
- 阅读 ( 10631 )
Zxl2605
yggcwhat
web渗透---windows内网渗透
不同的操作系统可能存在版本漏洞、中间件漏洞、组件漏洞、端口服务漏洞等,在渗透测试的过程中可以通过信息收集来获取思路。
- 1
- 2
- 和风
- 发布于 2021-07-06 11:47:16
- 阅读 ( 7718 )
和风
记一次Bypass SQL注入
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 ## 一、开局 先拿到一个站点,这里假设是http://110.120.119.911/dashboard,大致浏览一下没啥,小手那么一动,http://110.120...
- 0
- 2
- 长相安
- 发布于 2021-06-23 14:02:15
- 阅读 ( 10115 )
Web安全---cms指纹识别
**一、前言** CMS指纹识别:指纹识别是将识别对象的指纹进行分类对比从而进行判别,就像是人的指纹一样,不会出现一模一样的指纹,从而通过每个对象的不同特征来识别对象的归属。这里的指纹识...
- 2
- 2
- 和风
- 发布于 2021-06-22 17:37:29
- 阅读 ( 12339 )
谈谈漏洞验证框架的构思与实现(一)
笔者是个基层的"安全研究员",poc 编写算是我最基础的日常工作。本文描述的是我所构思的一款漏洞验证框架以及具体实现。
- 3
- 2
- jweny
- 发布于 2021-06-06 17:35:17
- 阅读 ( 9968 )
jweny
关于php一句话木马的学习
# php一句话后门 ## 开发很久的可利用函数 ### eval和assert php任意代码执行的一句话后门,我们喜欢用的是传统的**eval**,php5,7通用。 ``` <?php @eval($_POST['a']) ?>...
- 2
- 2
- Johnson666
- 发布于 2021-05-31 17:16:23
- 阅读 ( 8413 )
Johnson666
绕RASP之内存马后渗透浅析
在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?
- 3
- 1
- shushu123456
- 发布于 2025-05-16 09:00:01
- 阅读 ( 3152 )
Python沙箱逃逸の旁门左道
本文结合CTF真题和作者对Python底层的理解,贡献了不一样的PyJail的绕过手法
- 1
- 1
- 7ech_N3rd
- 发布于 2025-02-08 09:00:02
- 阅读 ( 3509 )