F1ne
payload缩短技术-[D^3CTF2022] Shorter
这篇文章会结合 D^3CTF 的一道题目来学习 Payload 缩短的方法 题目为 D^3CTF 的 shorter,相信大家也都不陌生,题目给出了源码、dockerfile 等,大家可以自行搭建复现。
- 0
- 0
- sp4c1ous
- 发布于 2023-02-16 15:00:01
- 阅读 ( 5030 )
sp4c1ous
事与愿违
一次失败的SQL注入经历
某天,聚合扫描器推送了一份SQL注入的漏洞报告,经过测试,漏洞点存在某Cloud WAF,没办法直接利用,故需要绕过证明危害,于是笔者花了一点时间对WAF进行了完整的Bypass(最终还是玩了个寂寞)。整个过程,思路虽然比较基础,但总体还是有趣的,在此,分享出来笔者的过程,并呈现自己的思考
- 6
- 4
- xq17
- 发布于 2023-02-13 09:00:02
- 阅读 ( 6191 )
关于获取指定进程Pid的讨论
如何获取指定进程的pid这是个比较有意思的话题,本文会介绍一些常用的或不常用的方法。
- 0
- 1
- 事与愿违
- 发布于 2023-02-08 11:12:17
- 阅读 ( 4694 )
Shiro < 1.11.0 & Spring Boot 2.6+ 鉴权绕过(CVE-2023-22602)
shiro 在 1.11.0版本之前,当与spring boot 2.6以上版本组合使用的时候,在默认配置下,配合特定的路由规则,攻击者可以通过发送特殊的请求造成shiro中的鉴权绕过。
- 0
- 2
- nama
- 发布于 2023-02-03 10:01:33
- 阅读 ( 7638 )
nama
CodeQL库学习-SSRF漏洞挖掘
CodeQL 是 GitHub 开发的代码分析引擎,用于自动执行安全检查。通过使用该工具,可以快速地发现代码中存在的一些潜在问题。有很多知名漏洞都是通过这款工具发现的。因此对这款工具进行学习和使用对漏洞挖掘是很有帮助的。CodeQL中内置了很多规则,本文通过对CodeQL官方规则中针对SSRF的规则进行学习和研究以及在实战中的使用,从而学习一些该工具的用法。
- 2
- 2
- 无糖
- 发布于 2023-02-02 09:00:01
- 阅读 ( 5727 )
Remote thread injection
没啥导读,本文没有给出代码的具体实现,有编程基础的很容易就可以实现。
- 0
- 1
- 事与愿违
- 发布于 2023-02-01 10:21:41
- 阅读 ( 4280 )
f1tao
绿冰壶
第一届CAVD杯汽车信息安全挑战赛圆满闭幕 暨第二届CAVD杯汽车信息安全挑战赛预通知
第一届CAVD杯汽车信息安全挑战赛圆满闭幕 暨第二届CAVD杯汽车信息安全挑战赛预通知
- 0
- 0
- 番薯
- 发布于 2023-01-19 10:48:48
- 阅读 ( 4428 )
AFL原码分析----fuzz准备和UI显示
主要对afl-fuzz中的大部分代码进行了分析,都是一些fuzz前的识别和准备,同时涉及到了一些测试用例的执行。为后续分析主要的fuzz过程和变异做准备
- 0
- 1
- 就叫16385吧
- 发布于 2023-01-18 09:00:01
- 阅读 ( 5437 )
就叫16385吧
java代审那些笔记之若只如初见
之前给自己挖了几个大坑,一系列的总结文档还没有弄完,又碰上审计了,顺便记录记录下~有啥问题或建议,望大佬们,多多指点。
- 13
- 12
- 0nlyuAar0n
- 发布于 2023-01-17 09:00:02
- 阅读 ( 8313 )
0nlyuAar0n
浅谈任意邮件伪造漏洞的利用与防护
浅谈任意邮件伪造漏洞的利用与防护。任意邮件伪造漏洞,是指攻击者可以通过此漏洞对网站管理人员或者运维人员发送钓鱼邮件,对相关人员进行钓鱼攻击,进一步获取网站或者服务器权限。
- 4
- 1
- ENJOEY
- 发布于 2023-01-16 09:00:02
- 阅读 ( 6438 )
一次对在线文档预览的JAVA代码审计
一次JAVA代码,文中内容有:XSS 挖掘修复与绕过,文件读取与文件写入漏洞分析与挖掘。
- 3
- 4
- JOHNSON
- 发布于 2023-01-13 09:00:01
- 阅读 ( 6645 )
JOHNSON