RSS订阅 立即发帖
筛选:  最新的 推荐的 热门的

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块,基于Reactive编程模型实现。它使用了Reactive Streams规范,并提供了一套响应式的Web编程模型,以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的,以及跟Spring MVC的区别。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-04-08 09:42:02
  • 阅读 ( 3203 )

BOF及cna插件开发初探

主要讲下bof的代码编写和使用,让师傅们以后能快速修改上手利用

  • 2
  • 1
  • Qiu_
  • 发布于 2024-05-20 10:00:01
  • 阅读 ( 3196 )

让SharpBeacon再次伟大

花了些时间对鸡哥的sharpbeacon的代码进行问题修复和增强,为了让各位师傅少走弯路,将技术细节总结出来形成本文,也欢迎各位师傅留言进行交流学习。

  • 1
  • 2
  • 10cks
  • 发布于 2024-05-15 09:00:00
  • 阅读 ( 3180 )

脱壳并修改APP内容实现去广告

1 前言 对针对服务器的渗透测试而言,修改APP内容的意义是绕过一些弹窗、前端逻辑等。当然 也可以用来开挂,出去就说你是自学的^ ^。 2 对APP进行基础分析并脱壳 2.1 分析 拿到APP,先使用APK M...

  • 5
  • 0
  • 阿斯特
  • 发布于 2024-06-04 09:37:42
  • 阅读 ( 3172 )

记一次实战中信息收集溯源案例分享

在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。

  • 3
  • 4
  • chenwuwu
  • 发布于 2024-08-15 10:10:48
  • 阅读 ( 3165 )

Java安全 - Learning Vaadin Gadget From CTF

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-10 10:08:47
  • 阅读 ( 3137 )

记一次差点给Jadx提Issues的踩坑日记

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-19 10:24:24
  • 阅读 ( 3131 )

Zimbra邮服渗透技巧

zimbra作为常见的邮件服务器,了解其渗透与后渗透方式也必不可少。

  • 1
  • 0
  • 怜芩
  • 发布于 2024-08-15 09:00:02
  • 阅读 ( 3107 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架,它实现了JAX-RS规范(JAX-RS是Java API for RESTful Web Services的简称,它是Java EE的一个规范,提供了一组用于创建RESTful Web服务的API。)中定义的API,并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

  • 0
  • 0
  • tkswifty
  • 发布于 2024-04-11 09:36:30
  • 阅读 ( 3067 )

记一次golang的dsn注入之旅

记一次golang的dsn注入之旅

  • 0
  • 0
  • Sakura501
  • 发布于 2024-05-14 10:00:02
  • 阅读 ( 3001 )

记一次项目中遇到的YII框架审计

转载

  • 0
  • 0
  • Zacky
  • 发布于 2024-04-23 10:00:00
  • 阅读 ( 2996 )

云函数利用&Profile混淆

独有一份的xx云函数利用教程和profile混淆技术认识

  • 3
  • 1
  • w1nk1
  • 发布于 2024-07-15 09:00:03
  • 阅读 ( 2975 )

记一次前端断点调试到管理员登陆

差点shell,可惜条件不允许。实战总是差点shell的火候,真是令人痛心呐痛心。 发现前端漏洞 This is a 靶标,出于保密原因我就不上图了,长得非常泛微。 一般看到这种一眼通用的系统我都会直接...

  • 5
  • 5
  • 阿斯特
  • 发布于 2024-08-07 09:00:00
  • 阅读 ( 2955 )

DSL-JSON参数走私浅析

DSL-JSON 是一个为 JVM(Java 虚拟机)平台设计的高性能 JSON 处理库,支持 Java、Android、Scala 和 Kotlin 语言。它被设计为比任何其他 Java JSON 库都快,与最快的二进制 JVM 编解码器性能相当。浅析其中潜在的参数走私场景。

  • 0
  • 1
  • tkswifty
  • 发布于 2024-05-17 09:00:02
  • 阅读 ( 2904 )

小米路由器固件仿真模拟方案

IoT固件的仿真是漏洞挖掘中必不可少的重要一环,网上目前似乎还没有师傅分析过小米路由器固件的仿真,希望本文能给各位师傅带来帮助。

  • 2
  • 1
  • winmt
  • 发布于 2024-06-19 09:32:56
  • 阅读 ( 2899 )

Exchange邮服渗透技巧

在进行渗透过程中,Exchange邮件服务器通常是我们重点关注的对象,因为拿下了Exchange邮件服务器,凭借其机器账户的权限,我们可以赋予其他域内用户dcsync的权限,进而导出域内hash,拿下整个域。

  • 3
  • 7
  • 怜芩
  • 发布于 2024-08-22 10:01:31
  • 阅读 ( 2886 )

不是,真没人敢说吗?免杀大佬加入黑灰产还打得过吗?

近期,实验室捕获到一组“银狐”样本,经查,样本来源于伪装成主流会议软件的网站,网站通过提高搜索引擎的收录权重来诱骗用户下载该病毒软件。

内网渗透导出HASH

在内网渗透中当我们得到一台高权限用户的身份时,就可以抓取到当前机器上的各类密码。 虽然任务要求是导出域hash的方式,但在内网渗透中,获取当前机器的hash也有可能获取到域用户的hash,因此这里也分析一下如何获取当前机器的明文密码。

  • 1
  • 1
  • 怜芩
  • 发布于 2024-08-12 09:32:47
  • 阅读 ( 2848 )

利用memfd_create实现无文件攻击

当下无文件(fileless)攻击已经越来越流行,由于其无文件执行比较隐蔽和难检测,广受攻击者的喜欢,该植入后门的过程不涉及新文件写入磁盘,也没有修改已有文件,因此可以绕过绝大部分安全软件。另外许多Linux系统会自带各种调试工具、解释程序、编译器和程序库,这些都可以帮助攻击者实现无文件技术隐蔽执行。然而,无文件执行也有一些缺点,就是重启后自动消失,因此需要考虑其他持久化的方式。本文介绍一种利用memfd_create实现无文件攻击的思路。

  • 0
  • 0
  • 十一
  • 发布于 2024-06-11 10:00:00
  • 阅读 ( 2820 )

记:一次经典教育系统后台漏洞打包!

记:一次经典教育系统后台漏洞打包!

  • 12
  • 12
  • xhys
  • 发布于 2024-09-02 09:00:02
  • 阅读 ( 2805 )