RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

.Net Remoting 系列一

前言:笔者在代码审计时碰到许多以.Net Remoting技术开发的应用如SolarWinds、VeeamBackup、Ivanti等产品,尽管随着 WCF 和 gRPC 等更现代化技术的兴起,.NET Remoting 已逐渐淡出主流,但是依然有其研究的价值,本次主要以TcpChannel为主分析其工作原理、应用场景,后续会通过两个漏洞介绍.Net Remoting在不同场景下的利用姿势和挖掘思路

  • 0
  • 0
  • g7shot
  • 发布于 2024-12-24 10:11:20
  • 阅读 ( 3411 )

Cdp协议深度应用Web渗透加解密

Cdp协议深度应用与探索

  • 1
  • 3
  • nstkm
  • 发布于 2025-05-19 09:15:58
  • 阅读 ( 3157 )

实战Weevely管理工具免杀马研究即生成另类免杀马

生成另类免杀马

  • 3
  • 1
  • An0ma1
  • 发布于 2025-05-27 09:47:22
  • 阅读 ( 3118 )

.Net Remoting 系列二:Solarwinds ARM 漏洞分析

本篇主要是以Solarwinds Arm产品介绍自定义ServerChanel的场景,漏洞分析利用是其次,事实上是去年挖的没有详细记录,后续写的,勿怪哈哈哈

  • 0
  • 0
  • g7shot
  • 发布于 2024-12-24 10:11:30
  • 阅读 ( 3117 )

记一次攻防演练通过SQL注入和RCE拿下靶标的故事

想不到什么好标题

  • 5
  • 2
  • 阿斯特
  • 发布于 2025-09-03 09:00:02
  • 阅读 ( 2835 )

当XSS遇上CSP与mXSS:绕过技巧与底层逻辑

在现代 Web 安全体系中,跨站脚本攻击(XSS)虽然已经是一个“老生常谈”的话题,但随着浏览器安全策略和防护手段的不断更新,XSS 的绕过技术也在持续演化。本文系统梳理了常见的 XSS 绕过思路,重点介绍了 内容安全策略(CSP)的绕过方法、混合 XSS(mXSS)的成因与利用,并结合实际案例分析其背后的实现原理。通过从机制层面理解这些绕过方式,读者不仅能够更清晰地认识 Web 安全防护的局限性,还能在攻防对抗中掌握更有效的思路。

  • 2
  • 3
  • 梦洛
  • 发布于 2025-09-09 10:03:29
  • 阅读 ( 2518 )

CSS安全:不需要XSS也可以得到你的token!

之前我们看到了用HTML进行dom clobbering攻击,那么这次,我们来利用CSS进行Inject吧!

  • 3
  • 3
  • 梦洛
  • 发布于 2025-09-22 09:48:29
  • 阅读 ( 2347 )

攻与防:JSP Webshell检测引擎的对抗

分析了从一个简单的JSP webshell的构造到使用JSP特定的XML语法、使用标签在jsp转化为java代码的过程中通过拼接造成的恶意代码插入以及针对检测引擎的特性进行针对性webshell对抗的各种方式

  • 2
  • 0
  • leeh
  • 发布于 2025-09-15 09:46:48
  • 阅读 ( 1933 )

DOM-Clobbering入门到实战

常见的XSS有很多,大多数都是通过控制js来进行攻击,但是这次,我们可以只需要HTML即可完成攻击,是不是很好玩?

  • 3
  • 1
  • 梦洛
  • 发布于 2025-09-18 09:00:02
  • 阅读 ( 1811 )

黑盒背后的密钥:验证码加密解析与 AI 破局实录

一个平常不过的app加密竟然如此难搞?一开始不断受阻,不过最后也是破局并且复盘,而且又研究了AI利用的新思路,一键出结果,非常强的可实用性