白话分析之 fastjson 全系列补丁情况bypass源码分析(一)1.2.25-1.2.42系列

最近也是在系统的学习fastjson反序列化,本文白话式的分析了 1.2.42>fastjson>1.2.24版本后的补丁情况源码分析以及bypass手段,适合java安全初学者阅读

  • 1
  • 3
  • gaowei
  • 发布于 2022-01-18 09:42:40
  • 阅读 ( 5047 )

如何巧用burp安排某系统

本篇过程均有授权,是为合法合规渗透。 ### 本篇文章纯属虚构,如有类同实属巧合 ## 0×01开局一个登录框 开局又是一个登录框,扫了目录没有其他入口。难道又要祭出拿手绝招(爆破弱口...

某攻防演练案例分享

# 写在前头 此次案列为某地方攻防演练的一个案例,目的分享一下笔者自己的渗透思路,不介绍过多的漏洞知识和其他实现原理,同时里面涉及的内容比较敏感,所以打码可能比较多。影响各位读者体验...

白话分析 fastjson<=1.2.24 TemplatesImpl调用链 rce

详细的介绍了fastjson<1.2.24版本中反序列化漏洞TemplatesImpl调用链,并对其展开分析调试,适合java安全初学者阅读

  • 2
  • 9
  • gaowei
  • 发布于 2022-01-17 09:42:31
  • 阅读 ( 7163 )

phpyun人才招聘系统最新版v5.1.5漏洞挖掘

phpyun人才招聘系统v5.1.5版本漏洞挖掘过程。

  • 1
  • 0
  • SNCKER
  • 发布于 2022-01-14 11:14:24
  • 阅读 ( 6651 )

云原生之Kubernetes安全

随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,本文基于微软发布的Kubernetes威胁矩阵进行扩展,介绍相关的具体攻击方法。

ZendFramework的一些反序列化链

Zend Framework (ZF)是Zend公司推出的一套PHP开发框架,本文将分析该框架中的一些反序列化利用链。

  • 0
  • 0
  • SNCKER
  • 发布于 2022-01-13 17:24:04
  • 阅读 ( 5219 )

ssrf+log4j=getshell

一些同学一直认为ssrf漏洞比较鸡肋,是否能够进步利用需要看运气,如能够支持什么协议,是否支持跳转等,所以一般测试出来ssrf,就放一边没有深入利用。在本次实战项目中利用ssrf+log4j组合拳,成功getshell。ps:实战内容均是经过授权的渗透测试,并且相关漏洞均已修复。

应急响应之文件上传漏洞排查

在进行年度总结的时候,发现七一重保的时候还进行过一次应急响应,是一起关于非法上传事件的应急响应,在这里进行一下分析总结。

免杀笔记之 aes 加 lazy_importer 加 shellcode 分离

今天写一篇静态免杀的文章

【应急响应专题】应急响应方法论

这是我自己对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法。

  • 7
  • 1
  • y0_mht
  • 发布于 2022-01-11 09:54:45
  • 阅读 ( 5839 )

Parent Process ID (PPID) Spoofing

不多bb,今天我们一起来学习 PPID 欺骗

xunruicms某版本前台RCE

前台RCE,由于通告官方很及时被修复了,沾学弟的光拿到了poc,得空来分析一下。

  • 1
  • 0
  • joker
  • 发布于 2022-01-10 09:38:38
  • 阅读 ( 7991 )

老版本seacms代码审计

seacms是php开发的视频内容管理系统,目前更新的版本已经算是比较高了,在过去版本中修复了很多漏洞,比较适合入门学习。前段时间看到一位师傅分享的一个老版本的源码,于是下载进行学习

  • 1
  • 0
  • Cl0wnkey
  • 发布于 2022-01-10 09:38:27
  • 阅读 ( 4408 )

安卓机root抓包及绕过检测教程(下)

  • 12
  • 8
  • GLRpiz
  • 发布于 2022-01-07 09:34:34
  • 阅读 ( 20061 )

安卓机root抓包及绕过检测教程(上)

  • 21
  • 20
  • GLRpiz
  • 发布于 2022-01-07 09:34:27
  • 阅读 ( 28464 )

CTF-pwn 技术总结(1)

记录一些常用的CTF-pwn技术以及例题讲解

  • 2
  • 2
  • awqhc
  • 发布于 2022-01-06 09:38:28
  • 阅读 ( 9214 )

记一次Java代码审计

最近在学习Java代码审计,找了一个Java写的CMS练练手

  • 4
  • 5
  • 好家伙
  • 发布于 2022-01-06 09:38:21
  • 阅读 ( 8060 )

cms审计集

大概是倒数的php CMS漏洞复现审计文章了...

  • 1
  • 0
  • joker
  • 发布于 2022-01-05 09:40:34
  • 阅读 ( 5497 )

浅析云存储安全漏洞

云存储是以数据存储和管理为核心的云计算系统,为我们提供了一种全新的数据存储模式。云存储的安全是不容忽视的,一旦云存储安全出现问题,那么将会比传统的应用漏洞问题更加严重,因为在云存储中的数据都是海量的,如果发生数据泄露,将会造成严重的后果。本文挑选OSS和minIO作为代表并配合实战,讲解相关漏洞,实战内容均是经过授权的渗透测试,并且相关漏洞均已修复。