CVE-2021-21287: 容器与云的碰撞——一次对MinIO的测试
作者: phithon 随着工作和生活中的一些环境逐渐往云端迁移,对象存储的需求也逐渐多了起来,MinIO就是一款支持部署在私有云的开源对象存储系统。MinIO完全兼容AWS S3的协议,也支持作为S3的网关,所以在全球被广泛使用,在Github上已有25k星星。
- 0
- 0
- 带头大哥
- 发布于 2021-04-15 17:38:50
- 阅读 ( 1745 )
带头大哥
php无文件攻击(一) - fastcgi
通过模拟fastcgi协议直接控制php-fpm执行任意php文件的方法,全程无文件落地。
- 0
- 0
- jweny
- 发布于 2021-04-15 17:36:33
- 阅读 ( 1452 )
jweny
一种另类的shiro检测方式
shiro 这玩意去年出现在大众视野里,众多师傅大喊hvv没有shiro不会玩,实际上追溯这个洞最早开始时候是2016年的事情了,也就是说因为某些攻防演练,这个洞火了起来,当然我也聊一点不一样东西,因为其他东西师傅们都玩出花了。
- 1
- 0
- l1nk3r
- 发布于 2021-04-15 17:14:15
- 阅读 ( 953 )
php7cms文件包含漏洞
前台未授权文件包含 利用SQL注入报错插入payload到日志文件 包含该日志文件得到webshell
- 1
- 0
- Duck
- 发布于 2021-04-13 18:28:21
- 阅读 ( 1997 )
Duck
NAT Splitstreamming v1 浅析
研究员Samy Kamkar公开了一种针对NAT网关的攻击技术:NAT Splitstreamming,通过这种技术,可以实现从外网突破NAT网关,直接访问NAT内网的IP
- 0
- 0
- ManchurianClassmate
- 发布于 2021-04-12 18:31:44
- 阅读 ( 1817 )
亿邮电子邮件系统远程命令执行漏洞
近日,补天漏洞响应平台监测到互联网公开亿邮eyoumail的一个远程命令执行漏洞部分细节,细节中包含漏洞相关路径。经分析,该漏洞只存在于管理口,如限制管理界面则无法利用。在能够访问管理口的情况下,攻击者能够前台直接进行命令拼接,执行命令。该漏洞可导致远程命令执行,控制服务器。补天漏洞响应平台建议联系厂商获取最新补丁或使用奇安信设备更新获得防御。
- 0
- 0
- 带头大哥
- 发布于 2021-04-09 17:44:42
- 阅读 ( 1753 )
Yii反序列化漏洞复现到新利用链发现
我是刚入门不久的小白, 如果有什么地方不对,请师父们及时指正. 本文参考奶权师傅的 Yii复现文章: 受益匪浅,自己调试的时候发现了一个新的利用链,于是来分享下
- 0
- 0
- 带头大哥
- 发布于 2021-04-07 22:01:32
- 阅读 ( 2272 )
硬核黑客笔记 - 怒吼吧电磁波 (上)
大家好, 我是来自银基Tiger-Team的Kevin2600. 今天想分享在学习EMFI错误注入攻击中的些许心得. 本系列将分为上下两篇. 在上篇中我们将了解电磁注入基础原理以及工具的使用. 而下篇将分享如何使用电磁注入方式破解真实目标.
- 0
- 1
- 带头大哥
- 发布于 2021-04-07 20:32:37
- 阅读 ( 1108 )
如何入门游戏漏洞挖掘
大家普遍认为游戏漏洞挖掘难度大,游戏漏洞挖洞过程繁琐,事实不是这样,本文以简单的手游漏洞案例和挖掘过程为大家打消游戏漏洞挖掘的思想壁垒。首先我们先了解一下游戏外挂和反外挂。
- 3
- 0
- 带头大哥
- 发布于 2021-04-07 20:31:15
- 阅读 ( 855 )
记一次域渗透靶场学习过程
VulnStack7是红日安全团队最近的一个ATT&CK靶场,所以有了记一次域渗透靶场学习过程
- 0
- 2
- 带头大哥
- 发布于 2021-04-07 20:17:41
- 阅读 ( 1721 )