python进行shellcode免杀

python shellcode免杀的常用手法,实现过常见AV的效果。

  • 8
  • 2
  • St3pBy
  • 发布于 2022-06-24 09:35:06
  • 阅读 ( 875 )

热门工具源码分析实现WEB指纹识别再认识

在web渗透过程中,Web指纹识别是信息收集环节中⼀个重要的步骤。通过⼀些开源的⼯具、平台或者⼿⼯检测准确的获取CMS类型、Web服 务组件类型及版本信息可以帮助安全⼯程师快速有效的去验证已知漏洞。本篇文章主要通过分析当下使用较为热门的几种指纹识别工具源码,分享作者获得的对于web指纹识别原理的深入思考

  • 0
  • 0
  • 绿冰壶
  • 发布于 2022-06-23 10:49:32
  • 阅读 ( 692 )

【由浅入深_打牢基础】HOST头攻击

【由浅入深_打牢基础】HOST头攻击

有限域上的高次开根AMM算法在RSA上的应用

有限域上的高次开根AMM算法可以解决ctf部分rsa中的e和phi不互素的问题

  • 0
  • 1
  • cipher
  • 发布于 2022-06-23 09:41:18
  • 阅读 ( 180 )

浅谈黑盒识别Fastjson/Jackson组件

Java生态中基本只有Jackson和Fastjson组件,但是两者相关的版本均存在相应的漏洞(反序列化、DDOS),所以对目标是否使用了对应的组件需要有相关的判断方法。方便信息收集进行进一步的测试。

  • 2
  • 0
  • tkswifty
  • 发布于 2022-06-23 09:38:51
  • 阅读 ( 672 )

解读.NET XmlSerializer反序列化核心链路ExpandedWrapper

0X01 背景 ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用,完美的扩展了两个泛型类且它的公开的属性可以存储投影结果,正是由于提供了这么多强大的功能才被反序列化漏洞发现...

  • 0
  • 0
  • Ivan1ee
  • 发布于 2022-06-22 09:45:41
  • 阅读 ( 316 )

隐藏资产发现的小技巧

这个技巧不是难,但是很有效,既可以发现一些被隐藏的应用,还能识别云防护背后的真实地址

记一次文件名触发SQL注入的漏洞测试

只要是插入数据库的参数都有可能成为SQL注入的利用点,一切接口都可能存在漏洞,细节决定成败

虚拟机逃逸(二)

强网杯2019 虚拟机逃逸分析

聊一聊 WAF CDN 的识别方法

在日常渗透中,经常会遇到目标网站存在 WAF 和 CDN 的情况,如果直接对其进行漏洞扫描的话,大概率发现不了安全问题,反而给目标留下很多漏洞测试的告警,即浪费时间又没有效果,在做漏洞扫描之前可以先进行 WAF 的识别,如果确认没有 WAF 的情况,在进行漏洞扫描,而存在 WAF 的目标,可以进行手工测试,尽量不要使用明显的攻击方式,找一些逻辑方面的问题,WAF 是无法进行识别的。

端口扫描工具合集

端口扫描这个词,大家并不陌生,无论是在边界资产探测,还是在内网服务扫描,都离不开端口扫描这个技术,当然,不可能手工来做,必须依赖工具进行,那么有哪些端口扫描工具可以用呢?它们又有那些特点呢?

APP中间人抓包对抗

APP常见抓包思路及方法实操

  • 1
  • 0
  • 阿蓝
  • 发布于 2022-06-20 09:44:19
  • 阅读 ( 694 )

虚拟机逃逸入门(一)

虚拟机逃逸(一) 0x01 概述 虚拟化技术逐渐的开源和云计算的需要,使得虚拟化迅速发展,从KVM,XEN到qemu,docker...等,。 服务和软件定义网络的理念模糊了开发和运维的界限,也把更多的安全...

最经典的蠕虫病毒刨析

学习学习

  • 2
  • 0
  • 初学者
  • 发布于 2022-06-17 09:39:27
  • 阅读 ( 318 )

ISCC-2022部分wp

pycc部分wp

  • 0
  • 0
  • ki10Moc
  • 发布于 2022-06-17 09:37:39
  • 阅读 ( 310 )

【由浅入深_打牢基础】WEB缓存投毒(上)

【由浅入深_打牢基础】WEB缓存投毒(上)

2021一带一路暨金砖大赛之企业信息系统安全赛项决赛WriteUp

本次比赛我们队伍一同解出了 Crypto,Re,Pwn 方向的所有赛题,拿到了CTF的第一名。赛后认真对解题思路做了整理,同时对剩余未解出的少部分赛题也做了复现总结。

  • 2
  • 0
  • uuu
  • 发布于 2022-06-16 09:33:27
  • 阅读 ( 341 )

Java中SSTI漏洞分析

SSTI:Server Side Template Injection,即服务端模板注入

  • 2
  • 1
  • 阿蓝
  • 发布于 2022-06-15 09:45:35
  • 阅读 ( 474 )

Confluence Pre-Auth RCE 复现与分析

Confluence Pre-Auth RCE 复现与分析 0x00 前言   基于Java的漏洞两种常见高危害漏洞: 反序列化和表达式注入, 最新爆出来的Confluence RCE漏洞就是OGNL注入,这个漏洞漏洞利...

  • 0
  • 1
  • xq17
  • 发布于 2022-06-15 09:39:02
  • 阅读 ( 434 )

不出网上线CS的各种姿势

常见不出网情况下,上线CS的方式,作为一个备忘录。

  • 7
  • 3
  • St3pBy
  • 发布于 2022-06-14 09:37:08
  • 阅读 ( 1755 )