Apache Log4j远程代码执行漏洞(含排查措施和修复建议)

Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。

  • 0
  • 1
  • 26号院
  • 发布于 2021-12-10 18:42:48
  • 阅读 ( 7637 )

Log4j2 研究之lookup

Lookups provide a way to add values to the Log4j configuration at arbitrary places. They are a particular type of Plugin that implements the StrLookup interface.

  • 0
  • 0
  • 26号院
  • 发布于 2021-12-10 10:53:17
  • 阅读 ( 6478 )

梦想cms漏洞合集

又来审代码了,之前总是倾向于RCE或者文件上传getshell一类的洞,都没怎么看过SQL注入,这回就来看看吧...

  • 2
  • 0
  • joker
  • 发布于 2021-12-09 09:49:53
  • 阅读 ( 7610 )

CVE-2021-43527 Mozilla加密库NSS存在一个简单却很严重的缓存溢出漏洞

Mozilla加密库NSS存在一个简单却很严重的缓存溢出漏洞,NSS 是一个类似OpenSSL的密码学库,由Mozilla公司开发维护,广泛应用于Firefox 、Thunderbird、LibreOffice等一些常用的软件当中。

  • 0
  • 0
  • 午言
  • 发布于 2021-12-08 09:47:42
  • 阅读 ( 4177 )

关于抓取明文密码的探究

# 基础知识 SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate...

  • 1
  • 0
  • szbuffer
  • 发布于 2021-12-07 10:09:50
  • 阅读 ( 7340 )

0元购买某游戏648元点券

## 前言 在游戏中要想玩的畅快,免不了装备的购买,而前提是要有足够的点券支撑。本文将对某游戏,实现0元购买648元点券,仅供学习使用。 ## 购买点券 点券购买界面如图所示。 [![](htt...

  • 4
  • 3
  • bmstd
  • 发布于 2021-12-07 09:43:15
  • 阅读 ( 7373 )

Serverless扫描技术研究及应用

大家好,我是风起,本次给大家分享的是Serverless扫描技术也是我在SecTime沙龙演讲时讲到的一种隐匿扫描技术,通过Serverless(云函数)实现各种扫描器探测功能,以达到绕过态势感知、WAF等安全设备,增大蓝队研判人员溯源难度,实现封无可封,查无可查的效果。希望大家通过阅读本文能够有所收获,那么下面由我来给大家揭秘这个有趣的攻击方式吧。

  • 3
  • 2
  • 风起
  • 发布于 2021-12-06 17:55:12
  • 阅读 ( 5046 )

TeamTNT挖矿程序分析

开局一张图,内容全靠编~

  • 0
  • 4
  • sky11ne
  • 发布于 2021-12-06 09:48:00
  • 阅读 ( 12077 )

Go语言代码审计实战

java很卷,刚好周末有空,来看一下go,就写下了这个。

  • 3
  • 0
  • maoge
  • 发布于 2021-12-03 18:11:17
  • 阅读 ( 8308 )

Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计

WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现

  • 1
  • 0
  • PeiQi
  • 发布于 2021-12-03 09:51:54
  • 阅读 ( 7149 )

Java代码审计入门

在安全从业人员的日常工作中,Java相关组件出现高危漏洞的频率比较高。 而代码审计就是挖掘源程序中的代码安全问题,其一直是发现应用程序漏洞的一种非常有效的方法。 代码审计是黑盒渗透测试的重要补充,可以发现更多的隐藏问题。 因此,代码审计通常被认为是 SDL 中非常重要的一部分。

去除实名认证弹窗

## 前言 如今,网络游戏用户需使用有效身份证件进行实名认证,才可保证流畅体验游戏。本文对去除实名认证弹窗进行研究,仅供学习使用。 ## 实名认证弹窗 进入某手游,首先需要注册一个账号...

  • 0
  • 1
  • bmstd
  • 发布于 2021-12-02 16:30:36
  • 阅读 ( 9997 )

线程同步的八种利用方法小结

分享者才是学习中最大的受益者!!

  • 0
  • 1
  • 略略略
  • 发布于 2021-12-02 09:35:57
  • 阅读 ( 5034 )

damicms6.0审计

干完活回来被隔离,周末只能学习了,也就有了这篇文章,可能这个CMS选的不是特别好,第一个洞分析的不是很nice,但是很尽力了...

  • 1
  • 0
  • joker
  • 发布于 2021-12-01 11:15:58
  • 阅读 ( 5708 )

powershell免杀思路分析

# powershell免杀思路分析 ## 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者...

  • 5
  • 3
  • Honeypot
  • 发布于 2021-12-01 09:49:46
  • 阅读 ( 7852 )

一次对PHP正则绕过的思考历程

## 一次对PHP正则绕过的思考历程 ## 0x0 前言 ​ 在某个CMS看到的一个基于正则的过滤函数,当时第一眼就觉得这种过滤其实没很大用的,后面深入地思考了一下,发现多种绕过思路,感觉还是...

  • 2
  • 1
  • xq17
  • 发布于 2021-11-30 10:16:53
  • 阅读 ( 6326 )

记一次应急响应

一次攻击流量结合源码泄露的及时应急处置

  • 4
  • 2
  • joker
  • 发布于 2021-11-30 09:52:34
  • 阅读 ( 7294 )

Microsoft CVE-2021-40449漏洞分析与利用

该漏洞与Windows窗口管理和图形化设备接口相关(Win32kfull.sys),通过该漏洞可以让普通权限用户提权到system权限。

2021深育杯线上初赛官方WriteUp(PWN篇)

2021深育杯线上初赛官方WriteUp(PWN篇)

开源C2:Covenant学习

分享者才是学习中最大的受益者!

  • 1
  • 1
  • 略略略
  • 发布于 2021-11-29 09:44:05
  • 阅读 ( 6048 )