RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

Java代码审计-mcms

本文主要记录了对mcms各个历史漏洞的复现与分析,含中间件漏洞和web漏洞。

  • 3
  • 4
  • Arthur
  • 发布于 2023-05-17 09:00:00
  • 阅读 ( 9545 )

红队工具研究篇 - Sliver C2 通信流量分析

本文着重于对 Sliver C2 四种通信流量的分析研究,考虑到部分读者有复现分析的需求,简单介绍了实验环境的配置。

  • 3
  • 4
  • xigua
  • 发布于 2023-05-06 09:00:01
  • 阅读 ( 16025 )

Dreamer CMS 代码审计

关于dreamer cms的代码审计,该cms使用springboot+mybaits完成。审计发现后台存在不少问题,严重到可以获取服务器权限。

  • 6
  • 4
  • en0th
  • 发布于 2023-03-24 09:00:00
  • 阅读 ( 19819 )

【实战】记一次实战“恶意外连”事件的应急响应

记一次实战“恶意外连”事件的应急响应

  • 4
  • 4
  • F1ne
  • 发布于 2023-02-17 09:00:02
  • 阅读 ( 11877 )

一次失败的SQL注入经历

某天,聚合扫描器推送了一份SQL注入的漏洞报告,经过测试,漏洞点存在某Cloud WAF,没办法直接利用,故需要绕过证明危害,于是笔者花了一点时间对WAF进行了完整的Bypass(最终还是玩了个寂寞)。整个过程,思路虽然比较基础,但总体还是有趣的,在此,分享出来笔者的过程,并呈现自己的思考

  • 6
  • 4
  • xq17
  • 发布于 2023-02-13 09:00:02
  • 阅读 ( 10701 )

一次对在线文档预览的JAVA代码审计

一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。

  • 3
  • 4
  • JOHNSON
  • 发布于 2023-01-13 09:00:01
  • 阅读 ( 11399 )

001-实战钓鱼篇-细节决定成败,通过在线客服通关内网

以下文章来源于攻防日记,作者黑仔007 原文链接:https://mp.weixin.qq.com/s/cixtFPn__YPe1XtpcTE2Ow

  • 11
  • 4
  • nig1688
  • 发布于 2022-11-23 09:45:00
  • 阅读 ( 10088 )

CTF流量分析

对CTF比赛中常见的几种协议流量进行法分析。因为流量分析作用通常是溯源攻击流量的。

  • 15
  • 4
  • Obsession
  • 发布于 2022-10-20 09:30:02
  • 阅读 ( 17275 )

mimikatz和shellcode免杀

文章有什么错误的地方,希望师傅们能够提出来!

  • 7
  • 4
  • 旺崽
  • 发布于 2022-09-21 09:14:23
  • 阅读 ( 12634 )

Dlink设备中的HNAP分析

Dlink设备中HNAP数据处理漏洞分析

python的另类免杀

人生苦短 我用python

  • 12
  • 4
  • suansuan
  • 发布于 2022-08-05 09:55:36
  • 阅读 ( 11594 )

老树开新花,某OA getSqlData接口SQLi再利用

老树开新花,某OA getSqlData接口SQLi利用方式再升级,可直接执行命令。

  • 4
  • 4
  • Alivin
  • 发布于 2022-09-06 09:58:55
  • 阅读 ( 10240 )

记一次曲折的渗透测试

记一次曲折的渗透测试 > 本次渗透测试为授权测试,信息皆做脱敏处理 启 拿到网站,其中一个资产为该单位办公系统,看到界面比较老,感觉有戏, 所用系统为九思oa,先去搜一下已公开的poc看看...

  • 4
  • 4
  • Air
  • 发布于 2022-07-19 09:42:26
  • 阅读 ( 12408 )

CSCMS代码审计(php)

CSCMS是一款强大的多功能内容管理系统,采用php5+mysql进行开发,运用OOP(面向对象)方式进行框架搭建。CSCMS用CodeIgniter框架作为内核开发,基于MVC模式。很适合拿来练手。

  • 6
  • 4
  • St3pBy
  • 发布于 2022-06-08 09:45:42
  • 阅读 ( 9695 )

msf上线原理与自写stage绕过杀软

本文主要介绍了,msf上线原理和自写stage绕过杀软上线msf。

  • 3
  • 4
  • ring3
  • 发布于 2022-06-07 09:36:28
  • 阅读 ( 9358 )

【FireEye解读】钓鱼网站检测逃逸

来骗!来偷袭!

  • 2
  • 4
  • pokeroot
  • 发布于 2022-05-09 10:58:52
  • 阅读 ( 8286 )

编译汇编代码实现免杀

在前面的文章中读过CobaltStrike的汇编代码,整体的思路就是用某种函数将shellcode加载到内存,然后跳到写入shellcode内存的地方执行

  • 2
  • 4
  • Macchiato
  • 发布于 2022-05-10 09:36:04
  • 阅读 ( 10579 )

MSSQL注入绕过360执行命令

  • 4
  • 4
  • Macchiato
  • 发布于 2022-04-22 09:34:01
  • 阅读 ( 10520 )

谈谈业务逻辑漏洞

业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。业务逻辑漏洞在渗透测试,hvv等实战场景中广泛存在,具有普遍性的威胁。严重威胁网站安全

  • 10
  • 4
  • 绿冰壶
  • 发布于 2022-04-06 14:39:55
  • 阅读 ( 11847 )

Django 安全开发小记

简单的 Django 安全开发小记:SECRET_KEY 密钥、前后端分离身份认证、后台动作安全、复杂的后台数据验证。

  • 5
  • 4
  • JOHNSON
  • 发布于 2022-02-25 09:36:09
  • 阅读 ( 9232 )