最近有人发布了grpc的相关文章,但是缺少了在实战用使用的部分,本文对这部分进行了补充
本篇是 "用 Yara 对红队工具 "打标"" 系列文章第五篇,cobaltstrike 生成马规则分析
学习java审计的尝试
师傅们快点进来一起学习!!
DarkAngel 是一款全自动白帽漏洞扫描器,从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。
入门进程之间通信mojo API以及uaf漏洞实现沙箱逃逸
源码分析关注两个方面,第一个方面关注afl-gcc的插桩方式,第二个方面关注afl-fuzz模式,和变异模式。 为了方便下面的分析,需要先了解一点知识,首先看一下AFL的makefile afl-gcc: afl-gcc.c $...
2022年12月出的漏洞,影响很大但目前没有 CVE 编号,起源是某大佬在跳跳糖发的一篇文章,ThinkPHP 在开启多语言的情况下,存在文件包含漏洞,配合 pearcmd 可以 getshell
开发者使用 官方文件上传示例进行开发时,存在一个文件上传漏洞导致 getshell
Cacti 存在前台命令执行漏洞 CVE-2022-46169
黑盒测试多细心观察每一处地方
通过靶机提现域渗透的过程
之前写的存货,现在看到网上已经公开了一大段时间,且最新版本已经另经几次更新迭代修补,算是过时的版本了,就拿出来晒晒。
实战中,有些环境是不出网的,就无法利用JNDI攻击,这里介绍下FastJson本地的利用方式。
滴水之恩,当涌泉相报
近期学习的代码审计
分享一个比较新的 Donot 组织的样本分析过程
近期与朋友一起看的两个洞,Piwigo 的两枚 SQL 注入漏洞,二次注入的漏洞挺有意思的,在这里记录一下。
本文主要记录了笔者对cs生成的shellcode进行分析的过程