记一次前端加解密到sql注入过waf的实战

记一次前端加解密到sql注入过waf的实战

• 5
• 4
• 开车开车
• 发布于 2023-12-18 10:00:02
• 阅读 ( 8370 )

某oa登录绕过分析

本文会先从正常登录逻辑分析，从而找到该系统认证的过程和方式，进而搜索相关接口找到其他登录接口，进而利用漏洞绕过登录

• 1
• 4
• 中铁13层打工人
• 发布于 2023-12-18 09:46:15
• 阅读 ( 20485 )

红队外网打点实战案例分享

本文将分享一系列红队外网打点实战案例，素材内容来源于之前参加的HVV比赛和红队检测项目，通过深入剖析攻击技术去探索红队渗透测试的最佳实践，不足之处烦请各位师傅指点交流！

• 29
• 14
• hyyrent
• 发布于 2023-12-15 09:00:01
• 阅读 ( 14465 )

实战 | 记某次攻防演练钓鱼专项

由客户授权，组织一场钓鱼攻防演练专项，以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成，通过附件携带木马以及制作钓鱼页面来骗取敏感信息两个角度来进行测试，最后效果不错，完美收工，且听我娓娓道来。

• 11
• 11
• 小艾
• 发布于 2023-12-14 10:27:57
• 阅读 ( 11208 )

一次曲折的漏洞挖掘

在复现某cms漏洞时，尝试审计一下该cms，没想到反转再反转，记录审计一下过程

• 3
• 2
• 中铁13层打工人
• 发布于 2023-12-13 09:55:49
• 阅读 ( 21914 )

某开源OA系统的审计记录

对某开源OA参数过滤情况下的审计过程记录

• 0
• 0
• 中铁13层打工人
• 发布于 2023-12-12 10:36:43
• 阅读 ( 22004 )

记某系统有趣的文件上传

本次是一次漏洞复现记录，记录了一个有趣的后台文件上传漏洞，以后遇到类似的拦截可以参考这次的过程绕过。

• 25
• 20
• 中铁13层打工人
• 发布于 2023-12-11 15:41:23
• 阅读 ( 39416 )

由php反序列化字符串逃逸造成的SQL注入漏洞分析

此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸＋sql注入漏洞，进一步了解学习php反序列化的字符逃逸问题。

• 2
• 2
• 中铁13层打工人
• 发布于 2023-12-11 10:09:51
• 阅读 ( 19222 )

浅谈SpringWeb中获取当前请求路径的方式

在实际业务中，为了防止越权操作，通常会根据对应的URL进行相关的鉴权操作。浅谈SpringWeb中获取当前请求路径的方式。

• 3
• 1
• tkswifty
• 发布于 2023-12-11 09:00:02
• 阅读 ( 8182 )

无痕制作钓鱼邮件

声明： 利用钓鱼网站骗取银行卡或信用卡账号、密码等私人资料属于非法行为，请不要进行任何非授权的网络攻击，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者...

• 13
• 3
• HbTigerGe
• 发布于 2023-12-08 11:50:20
• 阅读 ( 26755 )

I DOC VIEW前台RCE分析

I DOC VIEW是一个在线的文档查看器，其中的/html/2word接口因为处理不当，导致可以远程读取任意文件，通过这个接口导致服务器下载恶意的JSP进行解析，从而RCE。

• 1
• 1
• SpringKill
• 发布于 2023-12-07 09:00:01
• 阅读 ( 20274 )

一场跨越十年的超时空思维碰撞

能想到，在十年后，在互联网的犄角旮旯里面，我还能重拾前人的经验、回忆和热枕，带着他们继续向前 十年过去了，这位 `lakehu` 师傅，你还好吗？如果不是隐退江湖，想必也已成为一方大佬了吧，向各位推动中国网络安全发展的师傅致以崇高的敬意！

• 4
• 6
• 曾哥
• 发布于 2023-12-06 09:00:02
• 阅读 ( 8470 )

验证码渗透最全总结

对于图形验证码以及短信验证码的总结

• 58
• 27
• balala4533
• 发布于 2023-12-05 10:00:02
• 阅读 ( 18250 )

一次省护红队的经历(100w公民信息泄露+找到双网卡主机—>内网沦陷)

愿我们都能以拿到第一台机器shell的热情继续学习下去，为网上家园筑起属于我们的安全堤坝！

• 15
• 12
• ekkoo
• 发布于 2023-12-05 09:00:02
• 阅读 ( 12946 )

IDocView前台远程代码执行漏洞分析

IDocView前台远程代码执行漏洞分析细节

• 1
• 0
• markin
• 发布于 2023-12-04 10:26:29
• 阅读 ( 20977 )

【Web实战】新手入门java审计

jsherpcms审计 环境搭建 源码：https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户：jsh，密码：123456 sql注...

• 4
• 0
• 永安寺
• 发布于 2023-12-04 09:00:00
• 阅读 ( 7712 )

【Web实战】内存免杀-Ekko项目解读

通过分析Ekko项目了解内存加密过程，这对对抗内存扫描来说很重要。

• 1
• 0
• ring3
• 发布于 2023-12-01 10:00:02
• 阅读 ( 16604 )

【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点

在某头部直辖市的攻防演练中，各家安全厂商投入了大量人力物力...而我方基本未做准备，只有小米加步枪，且看如何不用0day如何连下数城

• 37
• 41
• J0o1ey
• 发布于 2023-12-01 09:00:01
• 阅读 ( 13189 )

新手向某CMS的Java反序列链学习

Github上偶然发现某系统存在Java反序列化漏洞，在编写反序列化链的过程中踩了一些坑，并且这个漏洞最终的触发方式也比较特殊，本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写，初学者通过本文也可以了解一下Java反序列化链的原理。

• 4
• 5
• 中铁13层打工人
• 发布于 2023-11-30 10:00:01
• 阅读 ( 23534 )

【Web实战】内存马系列 Netty/WebFlux 内存马

XXL-JOB EXECUTOR/Flink 对应的内存马

• 1
• 1
• Nookipop
• 发布于 2023-11-30 09:00:02
• 阅读 ( 9010 )