中铁13层打工人
由php反序列化字符串逃逸造成的SQL注入漏洞分析
此篇文章针对的emlog轻量级博客及CMS建站系统存在反序列化字符逃逸+sql注入漏洞,进一步了解学习php反序列化的字符逃逸问题。
- 2
- 2
- 中铁13层打工人
- 发布于 2023-12-11 10:09:51
- 阅读 ( 18924 )
【Web】SysAid On-Prem Software CVE-2023-47246 目录穿越RCE
2023 年 11 月 8 日,SysAid 发布了一份公告,表示他们的本地服务器软件存在先前未公开的漏洞,并且发现了公开的野外利用,本文将对该漏洞进行分析,并给出利用方式。
- 0
- 2
- Y4er
- 发布于 2023-11-24 10:00:00
- 阅读 ( 18059 )
Y4er
【Web实战】XXE漏洞
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
- 6
- 2
- 苏苏的五彩棒
- 发布于 2023-11-24 09:00:02
- 阅读 ( 24313 )
苏苏的五彩棒
【Web实战】 Atlassian Confluence CVE-2023-22518/22515 Getshell 速通
对 CVE-2023-22518 的一波分析
- 0
- 2
- Nookipop
- 发布于 2023-11-13 10:07:47
- 阅读 ( 24482 )
Nookipop
【Web实战】记一次前台getshell组合拳审计的完整过程
本文内容仅限学习所用,请不要利用文中消息进行危害性测试。为保护此源码使用者的安全,本文中的源码系统名将做打码处理。 初学者学习中的小小收获,各位大佬轻喷。 1 整体审计 拿到源码,先做...
- 2
- 2
- 阿斯特
- 发布于 2023-11-08 09:00:01
- 阅读 ( 6752 )
阿斯特
沐一·林
浅析Geoserver注入
GeoServer 是一个用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据,支持众多地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理数据。GeoServer 基于 Spring 开发,使用到了 GeoTools 库。
- 1
- 2
- 中铁13层打工人
- 发布于 2023-09-20 09:00:02
- 阅读 ( 19315 )
Tomct-Valve内存马
简单介绍下Tomcat下Valve的实现,以及Valve内存马的原理以及实现
- 0
- 2
- mechoy
- 发布于 2023-09-19 09:00:00
- 阅读 ( 6914 )
Tomct-WebSocket内存马
简单介绍下Tomcat下WebSocket的实现,以及WebSocket内存马的原理以及实现
- 1
- 2
- mechoy
- 发布于 2023-09-19 09:00:00
- 阅读 ( 6789 )
通达OA反序列化分析
- 0
- 2
- Macchiato
- 发布于 2023-09-06 09:00:00
- 阅读 ( 18075 )
域内提权票据篇之剖析经典漏洞MS14-068
域内提权票据篇之剖析经典漏洞MS14-068 一、背景知识 1.PAC介绍 Kerberos 协议最初设计的几个流程里说明了如何证明 Client 是 Client 而不是由其他人来冒充的,但并没有声明 Client 有没有访问...
- 5
- 2
- 中铁13层打工人
- 发布于 2023-07-26 09:00:00
- 阅读 ( 8491 )
webpack下加密方法提取思路
webpack下加密方法提取思路 0x01 js中常规提取思路 1.1 找到加密方法位置 常见方法有: 搜索加解密关键字,如encypt,encode等 搜索被加密接口或者参数名,如login,password等 XHR监听,搜索调...
- 3
- 2
- 中铁13层打工人
- 发布于 2023-07-04 09:00:02
- 阅读 ( 9652 )
6月-7月红蓝对抗实战特训营
共6节课程,红队攻击之多级隧道、红蓝对抗之快速打点、windows操作系统中的二进制漏洞分析、供应链攻击、密码学常见算法以及在红队攻击当中的应用、反溯源/为何莫名其妙就上线,快来扫码加微信0元占位吧~
- 2
- 2
- 奇安信攻防社区
- 发布于 2023-06-28 14:39:49
- 阅读 ( 7366 )
奇安信攻防社区
Windows访问令牌窃取攻击分析和检测防御
令牌窃取(Token Theft)是一种Windows上常用的提权攻击技术,攻击者可以通过获取系统中一个高权限进程的安全令牌,然后将其注入到一个低权限进程中,使得低权限进程可以获得高权限进程的访问权限,如域管理员在域内某台普通主机上留下未清除的令牌,攻击者可窃取域管理员的令牌以提升权限,从而执行各种恶意操作。
- 4
- 2
- 中铁13层打工人
- 发布于 2023-06-28 09:00:02
- 阅读 ( 10205 )
binbin
PHP代码审计-emlog
本文主要对emlog这个cms进行渗透测试与审计,对多个中高危漏洞复现与分析。
- 0
- 2
- Arthur
- 发布于 2023-05-31 09:00:00
- 阅读 ( 7216 )
Arthur
内网穿透nps的魔改
nps工具是渗透测试过程和红蓝攻防过程中,比较常见的工具,但是nps的工具流量特征比较明显,常常出现落地秒的情况,所以本次主要是简单进行了一下二次开发。遂作了记录。
- 4
- 2
- Q16G
- 发布于 2023-05-29 09:00:00
- 阅读 ( 11651 )
Q16G
红队工具研究篇 - SliverC2 Stager研究(下)
本文是上一篇的进阶研究部分,分别介绍三种更加高级的构造 Stager 方法,包括AES加密、使用PowerShell 反射式加载以及利用进程注入技术。其中在“快速上手”部分都给了完整代码,只要修改参数即可直接上手使用。
- 4
- 2
- xigua
- 发布于 2023-05-22 09:00:00
- 阅读 ( 10278 )
xigua