阿斯特
shiro+fastjson整合利用
本文章讲解shiro和fastjson漏洞复现合集以及绕waf不出网利用 还带点sql绕安全狗
- 10
- 1
- Locks_
- 发布于 2024-05-15 10:00:02
- 阅读 ( 4209 )
Locks_
实战 | 对自己学校内网的渗透测试
一直以来都想拿自己学校的内网练练手,跟负责网安的老师说了一声后,回去直接开搞。这里作了比较详细的记录,希望大家能多多指点。
- 17
- 16
- 越南王子
- 发布于 2024-08-20 14:32:36
- 阅读 ( 4154 )
越南王子
小惜渗透
n3ewlit
怒绕三个WAF注入的小故事
天呢,不知道的以为我在注CIA。 发现漏洞 经典的字符串型盲注,无报错回显。注入单引号*1返回404或500(交替出现,无规律),注入单引号*2正常显示: 由于可能存在混淆情况(前几天就遇到一...
- 7
- 7
- 阿斯特
- 发布于 2024-06-13 09:00:02
- 阅读 ( 3302 )
红猪
Bypass WAF (小白食用)
前言:现在绕过waf手法在网上层出不穷,但是大家好像忘记一个事情就是,思路比方法更有价值,大家对着网上一些手法直接生搬硬套,不在意是不是适合的场景,网上的文章,好像着急的把所有的绕过方法都给你罗列出来。没有传授给你相应的技巧。到最后,小白拿着一堆绕waf的方法却被waf拦在外面。
- 24
- 15
- xhys
- 发布于 2024-09-11 10:00:00
- 阅读 ( 2752 )
xhys
记一次前端断点调试到管理员登陆
差点shell,可惜条件不允许。实战总是差点shell的火候,真是令人痛心呐痛心。 发现前端漏洞 This is a 靶标,出于保密原因我就不上图了,长得非常泛微。 一般看到这种一眼通用的系统我都会直接...
- 5
- 4
- 阿斯特
- 发布于 2024-08-07 09:00:00
- 阅读 ( 2689 )
不是,真没人敢说吗?免杀大佬加入黑灰产还打得过吗?
近期,实验室捕获到一组“银狐”样本,经查,样本来源于伪装成主流会议软件的网站,网站通过提高搜索引擎的收录权重来诱骗用户下载该病毒软件。
- 1
- 0
- 顺丰安全应急响应中心
- 发布于 2024-09-02 10:00:02
- 阅读 ( 2444 )
顺丰安全应急响应中心
硬件断点实现的HOOK与UNHOOK技术
介绍硬件断点patch实例和一种通过硬件断点实现的冷门的unhook手法
- 1
- 1
- 起舞
- 发布于 2024-06-25 10:19:37
- 阅读 ( 2149 )
攻防演练之迂回技战法真实案例
在攻防演练面对一套系统无从下手时,应该怎么采用迂回打法的思路通过代码审计拿0day砸进去呢?且看该案例
- 2
- 5
- Y0ng
- 发布于 2024-09-09 09:00:02
- 阅读 ( 1954 )
万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE
之前实战遇到了,但是网上的poc懂得都懂,索性就专门研究一下漏洞成因,利用以及内存马方面
- 0
- 1
- Bmth666
- 发布于 2024-09-29 10:00:01
- 阅读 ( 1736 )
记一次基于Union的sqlmap自定义payload
hw期间某晚上10点,某知名小朋友审计了一套bc源码,有sql注入,注入的位置比较刁钻,sqlmap无法识别,不能取证 (公众号转发务必说明来源,标注作者!)
- 3
- 2
- echoa
- 发布于 2024-09-09 10:00:01
- 阅读 ( 1584 )
资产收集常用工具以及思路总结
渗透测试中拿到目标资产后需要对目标资产进行资产整理再进行测试,目标资产形式可能是企业名称、域名信息等。此篇文章主要总结对目标资产收集的一些思路、渠道和工具等。
- 8
- 2
- 中铁13层打工人
- 发布于 2024-11-15 10:00:01
- 阅读 ( 986 )
中铁13层打工人