RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

一次cs样本免杀实践

本文记录笔者使用常见默认配置的``cobaltstrike shellcode``免杀的尝试,构造自己的shellcodeloader加载对应的shellcode实现对常见杀软查杀绕过,实现了对一些常见杀软的绕过,免杀效果还算不错;最后给出来了些对抗文中所使用免杀手段的方法和思路;

  • 11
  • 4
  • Ga0WeI
  • 发布于 2023-12-25 14:41:01
  • 阅读 ( 19008 )

Docker容器逃逸

作者:凝 前言: 我认为docker容器逃逸也算是提权的一种手法,要更好的理解容器逃逸的手法,应该知道从本质上看容器内的进程只是一个受限的普通 Linux 进程,而容器逃逸的过程我们完全可以将其理解...

  • 8
  • 4
  • ning凝
  • 发布于 2023-12-22 10:00:01
  • 阅读 ( 15959 )

ERC2771 Multicall任意地址欺骗攻击分析

ERC2771 Multicall任意地址欺骗攻击

edusrc漏洞笔记(逻辑篇)

刚接触挖洞的时候记录的一些漏洞,全文比较基础,各位大佬轻喷

  • 14
  • 7
  • 陌离sg009
  • 发布于 2023-12-21 09:27:52
  • 阅读 ( 11076 )

( CVE-2023-50164)Apache Struts2 S2-066 文件上传漏洞分析

Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。

  • 2
  • 2
  • jweny
  • 发布于 2023-12-20 09:00:02
  • 阅读 ( 21391 )

某次实战代码审计出sql注入漏洞记录

某次项目中朋友拿到了一份web的源码让帮忙看下,通过审计发现多处注入,挑选一处记录一下

记一次前端加解密到sql注入过waf的实战

记一次前端加解密到sql注入过waf的实战

某oa登录绕过分析

本文会先从正常登录逻辑分析,从而找到该系统认证的过程和方式,进而搜索相关接口找到其他登录接口,进而利用漏洞绕过登录

一次曲折的漏洞挖掘

在复现某cms漏洞时,尝试审计一下该cms,没想到反转再反转,记录审计一下过程

某开源OA系统的审计记录

对某开源OA参数过滤情况下的审计过程记录

记某系统有趣的文件上传

本次是一次漏洞复现记录,记录了一个有趣的后台文件上传漏洞,以后遇到类似的拦截可以参考这次的过程绕过。

由php反序列化字符串逃逸造成的SQL注入漏洞分析

此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸+sql注入漏洞,进一步了解学习php反序列化的字符逃逸问题。

浅谈SpringWeb中获取当前请求路径的方式

在实际业务中,为了防止越权操作,通常会根据对应的URL进行相关的鉴权操作。浅谈SpringWeb中获取当前请求路径的方式。

  • 3
  • 1
  • tkswifty
  • 发布于 2023-12-11 09:00:02
  • 阅读 ( 9874 )

I DOC VIEW前台RCE分析

I DOC VIEW是一个在线的文档查看器,其中的/html/2word接口因为处理不当,导致可以远程读取任意文件,通过这个接口导致服务器下载恶意的JSP进行解析,从而RCE。

  • 1
  • 1
  • SpringKill
  • 发布于 2023-12-07 09:00:01
  • 阅读 ( 22179 )

一场跨越十年的超时空思维碰撞

能想到,在十年后,在互联网的犄角旮旯里面,我还能重拾前人的经验、回忆和热枕,带着他们继续向前 十年过去了,这位 `lakehu` 师傅,你还好吗?如果不是隐退江湖,想必也已成为一方大佬了吧,向各位推动中国网络安全发展的师傅致以崇高的敬意!

  • 5
  • 6
  • 曾哥
  • 发布于 2023-12-06 09:00:02
  • 阅读 ( 10892 )

验证码渗透最全总结

对于图形验证码以及短信验证码的总结

  • 66
  • 32
  • balala4533
  • 发布于 2023-12-05 10:00:02
  • 阅读 ( 21426 )

IDocView前台远程代码执行漏洞分析

IDocView前台远程代码执行漏洞分析细节

  • 1
  • 0
  • markin
  • 发布于 2023-12-04 10:26:29
  • 阅读 ( 22619 )

【Web实战】新手入门java审计

jsherpcms审计 环境搭建 源码:https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户:jsh,密码:123456 sql注...

  • 4
  • 0
  • 永安寺
  • 发布于 2023-12-04 09:00:00
  • 阅读 ( 9278 )

【Web实战】内存免杀-Ekko项目解读

通过分析Ekko项目了解内存加密过程,这对对抗内存扫描来说很重要。

  • 2
  • 0
  • ring3
  • 发布于 2023-12-01 10:00:02
  • 阅读 ( 18478 )

新手向某CMS的Java反序列链学习

Github上偶然发现某系统存在Java反序列化漏洞,在编写反序列化链的过程中踩了一些坑,并且这个漏洞最终的触发方式也比较特殊,本文分享一下此过程以及如何利用ysoserial工具完成Java反序列化链payload的编写,初学者通过本文也可以了解一下Java反序列化链的原理。